PHP傳入POST與GET導致FPD漏洞

php傳入POST與GET沒有檢查輸入內容導致頁面異常產生FPD漏洞。

發生地點

GET、POST等傳入參數的位置

描述

由於可以讓POST或GET傳入數組，如GET參數page=about可以改成page[]=about等方式，若後端沒有進行格外處理則產生錯誤。

程序員直接將使用者GET或POST尚未檢查當成字串下去處理， 之後報錯導致FPD漏洞(參見參考的Empty Array)。

該漏洞可能揭露伺服器所使用的作業系統(windows、*nix)。

解決方法

• 禁用錯誤顯示

參考

• 网站异常页面导致服务器路径泄漏
• Full Path Disclosure

---

Web Web安全 PHP Vulnerability