请选择 进入手机版 | 继续访问电脑版

3A资讯网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 79|回复: 0

ThinkPHP使用不当可能造成敏感信息泄露

[复制链接]

3015

主题

3015

帖子

9045

积分

网站编辑

Rank: 8Rank: 8

积分
9045
发表于 前天 11:27 | 显示全部楼层 |阅读模式
作者:杠精侠
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关的,所以影响应该很大吧

我们来看一下ThinkPHP3.2版本生成日志结构:



THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log

THINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log

可以看到是 :项目名\Runtime\Logs\Home\年份_月份_日期.log

这样的话日志很容易被猜解到,而且日志里面有执行SQL语句的记录,这里我随便找几个tp站测试一下:

http://demo.xxxxx.cc/Runtime/Logs/User/16_09_06.log 成功下载,并且找到一个用户的密码



成功登录:



我们再找一个案例:http://www.xxxxxx.com/Runtime/Logs/Home/16_09_06.log



成功登录:



onethink官网测试

http://www.onethink.cn/Runtime/Logs/16_09_07.log

修复办法:

删除Runtime/Logs下的所有文件,并将APP_DEBUG设置为false

               
原文地址:http://mp.weixin.qq.com/s?src=11&timestamp=1602992820&ver=2651&signature=MATHQfjtPC97-dOSOOAamsHwBFWCM36dFg5j*JjiHzPkt7TO0UOSwdyPWi80ReIuB9Fuo3Tw*-WlWAnArQXg-vbQN625fx*1GXsQ73Hdr87yqccnxVWY*av823QHaWah&new=1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|三艾云

GMT+8, 2020-10-20 10:18 , Processed in 0.061905 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表