PHP error 노출

Writer 4a84ce15 Program 한국CISSP협회 대표홈페이지

WEB Informative Low No Reward Created: Jul 20, 2021 (3 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

PHP 에러 노출

Description

image

위 사진을 보면 http://isc2chapter.kr/plugin/sms5/로 접속 했을 때, index.php 에러가 그대로 출력 되는 것을 볼 수 있습니다. PHP 기본 사항은 기본적으로 에러를 노출하지 않고, 에러가 날시에 500을 반환하게 해야 합니다.

이러한 에러들을 출력 해줌으로서 공격자에겐 힌트를 주는 것이나 마찬 가지 입니다, 그렇기 때문에 에러가 날 시 500 에러를 반환하게 하는 패치를 하는 것이 좋아 보입니다.

Timeline

4a84ce15 submitted ticket. July 20, 2021 (3 years ago)
CISSP MANAGER changed the status from 'Submitted' to 'In Progress'. July 21, 2021 (3 years ago)
CISSP MANAGER posted a comment. July 21, 2021 (3 years ago)

안녕하세요.
제보 감사합니다.
Warning 출력이 되지 않게 패치했습니다.
이 건의 경우 즉각적인 위협이 되지 않아 바운티는 지급되지 않습니다.
앞으로도 많은 활동 부탁드립니다.
감사합니다.

CISSP MANAGER changed the status from 'In Progress' to 'Informative'. July 21, 2021 (3 years ago)
4a84ce15 posted a comment. July 21, 2021 (3 years ago)

감사합니다.

4cb9ef3b changed the disclosure from 'Closed' to 'Disclosed (Full)'. July 28, 2021 (3 years ago)