¿Una imagen que muestra un error de excepción en mi sitio representa un riesgo de seguridad importante?

Navega tus respuestas
1

Escribí un pequeño sitio web en PHP y ZF2.

Un amigo lo probó publicando un enlace en Facebook.

Aparentemente olvidé apagar los informes de ZendFramework y él encontró un error. Publicó una foto del error.

En la foto, se expone que estoy usando ZF2 y el nombre de usuario de mi cuenta, y las rutas al error que expone la ubicación del archivo ZF2.

/ home / user / public_html, cosas como esas

Ejemplo 

An error occurred
Additional information:
Zend\Mail\Transport\Exception\RuntimeException
File:
/home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php:290
Message:
Unable to send mail: 
Stack trace:
#0 [internal function]: Zend\Mail\Transport\Sendmail->mailHandler('mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#1 /home/username/public_html/domain.net/vendor/zendframework/zend-mail/src/Transport/Sendmail.php(138): call_user_func(Array, 'mail <mail@mail...', 'Your ...', 'Your Commission...', 'Date: Sat, 21 M...', ' -fservice@mail...')
#2 /home/username/public_html/domain.net/module/Commission/src/Mail/Mail.php(22): Zend\Mail\Transport\Sendmail->send(Object(Zend\Mail\Message))

(se modifican el nombre de usuario y el dominio y los correos electrónicos en el mensaje anterior)

¿El texto de la foto pone en peligro mi seguridad?

¿Le pido que lo quite?

    
pregunta dennismv 21.05.2016 - 16:20
fuente

2 respuestas

1

No debes mostrar excepciones a los usuarios , y tiene un ligero impacto en la seguridad.

Supongo que ha deshabilitado las excepciones y ahora está preocupado por los datos que se filtran a través de la captura de pantalla:

Nombre de usuario filtrado

Los nombres de usuario generalmente no se consideran información confidencial.

Es posible que aún desees mantenerlo en secreto como defensa en profundidad, para hacer que algunos ataques como fuerza bruta, phishing o escalada de privilegios sean más difíciles, pero filtrar un nombre de usuario generalmente no se considera un problema de seguridad.

Rutas absolutas filtradas

Divulgación de ruta completa puede:

  • ayuda en la explotación de las vulnerabilidades de LFI. [Aunque un atacante puede explotar LFI sin conocer la ruta absoluta, o puede adivinar la ruta correcta por sí mismo.]
  • proporciona información sobre el sistema operativo. [Esto puede ayudar a descubrir otras vulnerabilidades, o puede ayudar a explotar otras vulnerabilidades existentes.]
  • filtrar los nombres de usuario del sistema. [ver más arriba.]
  • filtre los nombres de directorios públicos secretos y, por lo tanto, lleve a la divulgación de información confidencial. [aunque no debe confiar en el secreto de un directorio de acceso público para protegerlo; la seguridad a través de la oscuridad no debería ser su principal línea de defensa.]

Conclusión

Por sí solo, es muy poco probable que la información filtrada pueda usarse para iniciar un ataque. Sin embargo, puede hacer que otras vulnerabilidades existentes sean un poco más fáciles de explotar o ayudar a encontrar otras vulnerabilidades.

En general, se prefiere mantener esta información en privado, por lo que es posible que desee cambiar su nombre de usuario y las rutas, pero si no es fácilmente factible, la seguridad de su servidor no se verá gravemente afectada si no lo hace. .

    
respondido por el tim 21.05.2016 - 22:35
fuente
0

En general, esos errores son realmente útiles cuando un atacante intenta comprometer el sitio.  En su caso, no es algo sofisticado, el único vector de ataque que I veo es el ataque de fuerza bruta / diccionario, ya que el error expuso su nombre de usuario.

    
respondido por el nuclear3mbargo 21.05.2016 - 16:26
fuente

Lea otras preguntas en las etiquetas

Detectores de devolución de llamada: se detectó la conexión con el servidor C&C de alta confianza Sincronización sincronizada