检测
分析学

源代码被动披露

介质webApp扫描插件ID98779

语言 :

简表

源代码被动披露

描述性

扫描器检测服务器端源码
现代网络应用依赖数种不同的编程语言语言可分两种口味用户端语言(如浏览器运行语言-如JavaScript)和服务器端语言(由服务器执行-如ASP、PHP、JSP等)组成动态页面(客户端代码)并发端客户端
所有服务器侧码都应由服务器执行,客户绝对不能看到它,然而在某些假设中,服务器侧码可能有误配置或服务器侧码有语法错误,因此服务器非执行,而是寄送客户端服务器端源码常包含敏感信息,如数据库连接字符串或细节输入应用工作流,这可能极有风险
网络犯罪者会试图发现页面意外或强制允许披露服务器端源码,以协助发现更多漏洞或敏感信息

求解

服务器不向客户端提供服务器侧码非常重要,服务器错误配置或服务器代码应修改以防止发生这种情况

插件细节

严重性 :中度

身份证 :98779

类型 :远程

家庭问题 :数据曝光

发布 :12/19/2019

更新 :11/7/2023

扫描模板 :api,基础,全数,Pci,扫描

风险信息

VPR

风险因子 :低频

分数 :1.4

CVSS v2

风险因子 :中度

基础评分 :5

向量 :CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS评分源 :可租性

CVSSv3

风险因子 :中度

基础评分 :5.3

向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS评分源 :可租性

参考信息

Baidu
map