Weakness
PHP error 노출
Description
위 사진을 보면 board_list_update.php에서 에러가 그대로 출력 되는 것을 볼 수 있습니다. PHP 권고 사항은 기본적으로 에러를 노출하지 않고, 에러가 날시에 500을 반환하게 해야 합니다.
</b>: count(): Parameter must be an array or an object that implements Countable in <b>/var/www/html/bbs/board_list_update.php</b>
에러를 통해서 위와 같이 파라미터는 array이거나 object여야 한다고 합니다. 이러한 에러들을 출력 해줌으로서 공격자에겐 힌트를 주는 것이나 마찬 가지 이며 파라미터를 모른다고 한 듯 파라미터 브루트 포싱을 통해서 찾을 수도 있을 뿐더로 PHP 코드를 파악할 수 있는 핵심 요소가 되는 것 입니다.
그렇기 때문에 사용하지 않는 파일은 백업을 하고 삭제를 하거나 에러 출력을 하지 않는 것을 추천 드립니다.
안녕하세요.
제보 감사합니다.
Warning 출력이 되지 않게 패치됐습니다.
제보해주신 내용은 즉각적인 위험을 나타내지는 않아서 바운티 지급은 되지 않습니다.
앞으로도 많은 관심 부탁드립니다.
감사합니다.