PHP 에러 노출

작성자 4a84ce15 프로그램 한국CISSP협회 대표홈페이지

WEB 종료됨(유익함) 없음 보상없음 작성일: 2021년 7월 20일 (3년 전) 마지막 업데이트일: 2022년 7월 17일 (2년 전)

취약점 유형

PHP error 노출

상세내용

image

위 사진을 보면 board_list_update.php에서 에러가 그대로 출력 되는 것을 볼 수 있습니다. PHP 권고 사항은 기본적으로 에러를 노출하지 않고, 에러가 날시에 500을 반환하게 해야 합니다.

</b>:  count(): Parameter must be an array or an object that implements Countable in <b>/var/www/html/bbs/board_list_update.php</b>

에러를 통해서 위와 같이 파라미터는 array이거나 object여야 한다고 합니다. 이러한 에러들을 출력 해줌으로서 공격자에겐 힌트를 주는 것이나 마찬 가지 이며 파라미터를 모른다고 한 듯 파라미터 브루트 포싱을 통해서 찾을 수도 있을 뿐더로 PHP 코드를 파악할 수 있는 핵심 요소가 되는 것 입니다.

그렇기 때문에 사용하지 않는 파일은 백업을 하고 삭제를 하거나 에러 출력을 하지 않는 것을 추천 드립니다.

첨부파일

타임라인

4a84ce15 님이 티켓을 제출했습니다. 2021년 7월 20일 (3년 전)
CISSP MANAGER 님이 상태를 '제출됨'에서 '처리중'으로 변경했습니다. 2021년 7월 21일 (3년 전)
CISSP MANAGER 님이 댓글을 남겼습니다. 2021년 7월 21일 (3년 전)

안녕하세요.
제보 감사합니다.
Warning 출력이 되지 않게 패치됐습니다.
제보해주신 내용은 즉각적인 위험을 나타내지는 않아서 바운티 지급은 되지 않습니다.
앞으로도 많은 관심 부탁드립니다.
감사합니다.

4a84ce15 님이 댓글을 남겼습니다. 2021년 7월 21일 (3년 전)

감사합니다.

CISSP MANAGER 님이 위험도를 '낮음'에서 '없음'으로 변경했습니다. 2021년 7월 21일 (3년 전)
CISSP MANAGER 님이 상태를 '처리중'에서 '종료됨(유익함)'으로 변경했습니다. 2021년 7월 21일 (3년 전)
4cb9ef3b 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2021년 7월 28일 (3년 전)