1.TP3.2--框架信息泄露
TP3.2--框架信息泄露
搭建环境
获取源码自github,何学官网访问失败。源p源
解压缩源码,码t码配置数据库连接信息,何学建立表结构。源p源万岳科技源码
在配置文件中输入数据库信息。码t码nacos源码注册服务流程
启动测试。何学
1.日志文件信息泄露
在thinkphp框架下,源p源启用DEBUG模式时,码t码应用运行时的何学Logs目录下会生成日志文件。通过输入路径直接访问这些日志文件,源p源可能引发目录遍历问题。码t码
入口文件中定义了DEBUG模式开启。何学win10源码链接
可能泄露的源p源信息包括倒数第四行的数据库信息和日志文件名规律。
解决方法:
建议在开发阶段开启DEBUG模式,码t码部署环境时关闭index.php中的DEBUG模式。
2.缓存信息泄露
thinkphp提供多种缓存方式,qt6.0源码安装如数据缓存、静态缓存和查询缓存。通过F函数和S函数实现数据缓存。
F函数存储的微信源码公共平台数据位于Application/Runtime/Data目录。
S函数存储的数据位于Application/Runtime/Temp目录。
文件名通过md5算法与数据相结合生成。
解决方法:
设置DATA_CACHE_KEY参数,以避免缓存文件名被猜测。在config.php文件中添加配置,如'DATA_CACHE_KEY'=>'think'。
这样,文件名将变为md5(thinkdata),使用'think'作为键更难以被猜测。
tp3.2指纹识别
若未更改框架目录,识别结果将显示为特定图案。