有偿请求帮助:Laravel登陆页面 发现/login/可利用的页面信息泄露,这个如何解决呢?
一个事业单位的网站,Laravel 4.2和5.0检查出来都有同样的问题(上级机关检查专用工具检查的,用360网站检测是100分),问题如下:
请大家指教一下应该如何解决这个信息泄露呢?谢谢了
http://www.域名.cn/login/风险描述
风险评级 低风险
漏洞简述
请求报文
GET /login/ HTTP/1.1
Host: www.域名.cn
Connection: Keep-alive
Accept: text/plain
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/20090624 Firefox/3.5
响应报文
HTTP/1.1 200 OK
content-location:http://www.域名.cn/login/
transfer-encoding:chunked
set-cookie:XSRF-TOKEN=eyJpdiI6Ik56VVwvckhrbjV0U2UzOXdIcFAyOWJBPT0iLCJ2YWx1ZSI6ImI5VlpGdWJWcXU0Tnk0ZXVCYTJYUUo5cEJEZ0ZKME1XZXlZNnUyR2l6aUV0RzByTDM1SjVnQVltcFhiYjhxeUpXUlorYlAzOEs3RVIwTlptZTlTb1dRPT0iLCJtYWMiOiJiNTMxYzViNTYzM2MwM2RlOTU3NzkxMzVlZjZmYzY2NmMxMGVkZWQxOTI2NmIxNWRkMmExMmVmOGQ3YmNlMGZiIn0%3D; expires=Mon, 13-Jul-2015 07:20:33 GMT; Max-Age=7200; path=/, laravel_session=eyJpdiI6IlJHSklHXC9WUElKS29uVnN3NjFyOW93PT0iLCJ2YWx1ZSI6IkFHVzlieDIxTHNPSWRlVGhaR2xIclpGVGg5VWdTNVQrTG5ybzlRc1NlRUlvS3RsUmZpSlNMMlNmbDJ1TnBjYlBcL1wvVnRCSElSZkFuK0kxK2Jlc0sySWc9PSIsIm1hYyI6IjcxNTA3NDUwMDc4YmU2Y2RiNTBhNDg0Mjc4ZTNkNDQ0NWE5ODExMmM4MGFlMTlkMzdhYzYzMmZiY2QzYmUxYjEifQ%3D%3D; expires=Mon, 13-Jul-2015 07:20:33 GMT; Max-Age=7200; path=/; httponly
vary:Accept-Encoding
server:nginx
connection:keep-alive
cache-control:no-cache
date:Mon, 13 Jul 2015 05:20:33 GMT
content-type:text/html; charset=UTF-8
风险描述: 发现可利用的页面信息泄露http://www.域名.cn/login/ 的源代码如下:
<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>请登录</title>
<link href="http://www.域名.cn/lib/bootstrap-3.3.2/css/bootstrap.min.css" rel="stylesheet">
<link href="http://www.域名.cn/jb/signin.css" rel="stylesheet">
<script type="text/javascript">
if (/MSIE 6/.test(navigator.userAgent)) { alert('您的浏览器不受支持\n您的浏览器版本非常旧, 存在诸多安全和体验问题! 建议更新或者使用其他浏览器来访问(如:Chrome、Firefox、Opera等), 如果您使用的是搜狗、360、遨游等双核浏览器, 请切换到极速模式以获得更好的体验'); }
</script>
<!--[if lt IE 9]>
<script src="http://www.域名.cn/lib/html5shiv.min.js"></script>
<script src="http://www.域名.cn/lib/respond.min.js"></script>
<![endif]-->
</head>
<body>
<div class="container">
<form method="POST" action="" role="form" class="form-signin">
<input name="_token" type="hidden" value="SzuN7lqxrJCOAHOdcEINP0PxtZouV311sRgWOiZJ">
<h2 class="form-signin-heading">请登录</h2>
<input type="text" name="username" value="" class="form-control" placeholder="用户名" required autofocus>
<input type="password" name="password" value="" class="form-control" placeholder="密码" required>
<button class="btn btn-lg btn-primary btn-block" type="submit">登陆</button>
</form>
</div>
<!-- IE10 viewport hack for Surface/desktop Windows 8 bug -->
<script src="http://www.域名.cn/lib/ie10-viewport-bug-workaround.js"></script>
</body>
</html>
请大家指教一下应该如何解决这个信息泄露呢?谢谢了
1 个回复
Mr_Jing
赞同来自: