文章总结： 本文档详细介绍了Web应用敏感信息泄露的排查与安全加固实践，从实验环境搭建开始，通过phpinfo.php文件发现信息泄露漏洞，进行风险评估，最后实施安全加固措施，包括删除敏感文件和修改PHP配置文件。该实践案例为初学者提供了从发现问题到解决问题的完整操作指南，强调了安全测试不必依赖复杂工具，简单的手动测试也能发现高危漏洞。 综合评分： 90 文章分类： WEB安全,漏洞分析,渗透测试,安全建设,实战经验

Web信息泄露排查与安全加固

原创

dcnb

Web安全基础与实践

2025年12月11日 20:30 广东

在Web应用面临的诸多安全威胁中，敏感信息泄露是一种基础且危害巨大的漏洞类型。它通常不像SQL注入或跨站脚本攻击那样具有直接的破坏性，却能为攻击者提供发起进一步精准攻击所需的关键情报，例如数据库连接字符串、服务器绝对路径、API密钥、甚至是备份的源代码文件。

现有的课程内容仅简单介绍了防范信息泄露的相关措施的基本概念，如最小权限原则、错误处理与日志审计、安全配置管理、数据加密和代码安全审查等。然而，对于初学者而言，从原则到实践之间往往存在一道鸿沟：如何具体地发现这些泄露点？发现后又该如何有效地进行加固？

本实践报告旨在弥补这一空白，并将遵循发现问题，分析问题，解决问题的实践路线，首先从攻击者的视角出发，演示如何使用Dirb等工具主动扫描并利用Web应用中的信息泄露漏洞；随后，切换至防御者的视角，针对已发现的漏洞，提出并演示具体的加固方案，包括配置安全的错误处理机制与部署Web服务器防护规则。通过这一完整的攻防闭环，本报告旨在为Web应用安全的学习与实践提供一个可复用的操作指南。

1、实验环境安装与配置

1.1渗透测试平台介绍

VMware Workstation Pro是一款功能强大的桌面虚拟化软件，它允许用户在一台物理计算机上同时运行多个不同的操作系统。其提供的沙盒环境完全独立于宿主机，是进行网络安全渗透测试和学习的最佳平台，能够有效避免测试过程中可能产生的风险对主力机造成影响，如图1所示。

图1  VMvare操作界面

1.2 靶机与攻击机导入

在VMware Workstation中，通过“打开”功能导入预先准备好的虚拟机模板（.ova或.ovf文件），是快速搭建实验环境的标准流程。此方法可以确保所有实验者获得完全一致且包含预设漏洞的实验系统，如图2所示。

图2  导入虚拟机界面

在导入过程中，规范的路径和命名管理是保障环境稳定性的重要一环。具体规范见下表，如表1所示。

表1  虚拟机导入路径与命名规范

| | | | | | — | — | — | — | | 配置项 | 错误示例 | 正确示例 | 原因说明 | | 安装路径 | D:\虚拟机\靶机\ | D:\VM_Lab\Target\ | 避免潜在的编码风险 | | 虚拟机命名 | CentOS7靶机 | CentOS7-Target | 避免命名歧义 |

1.3 虚拟网络配置

为构建实验所需的外网与内网隔离拓扑，需对VMware的虚拟网络进行配置。外网环境直接使用默认的VMnet8（NAT模式）虚拟网络。

内网环境的构建是本次配置的关键。首先在虚拟网络编辑器中创建名为VMnet2的新虚拟网络。为实现该内网与宿主机及外部的完全隔离，取消了“将主机虚拟适配器连接到此网络”的勾选，并同时关闭了“使用本地DHCP服务”。此配置使得VMnet2成为一个纯粹的、仅虚拟机间可通信的隔离网络。

完成虚拟网络配置后，需为虚拟机分配网络接口。所有攻击机及DMZ区靶机的首个网络适配器均连接至VMnet8网络。而DMZ区靶机的第二个网络适配器与内网靶机则接入隔离的VMnet2网络，从而形成所需的三层网络拓扑结构，如图3和图4所示。

图3  虚拟网络编辑器界面

图4  靶机网络配置

2、敏感信息泄露实战排查

2.1 漏洞发现与确认

在完成实验环境配置后，采用手动测试方法对目标Web应用进行排查。在Windows10攻击机的火狐浏览器中直接访问http://192.168.1.104/phpinfo.php，页面成功加载并显示”PHP Version 7.2.34″的详细信息表，确认存在敏感信息泄露漏洞。该页面包含了服务器配置信息、环境变量和系统参数等大量敏感数据，如图5所示。

图5  发现泄露页面

2.2 深度信息挖掘与分析

通过对phpinfo.php页面的深入排查，使用浏览器搜索功能发现了以下关键信息：系统绝对路径为/var/www/html，PHP精确版本为7.2.34，操作系统为Linux内核3.10.0的CentOS 7系统。同时发现危险配置项allow_url_include处于开启状态，且disable_functions值为空，这意味着系统未禁用任何危险函数。还获取到PHP配置文件路径为/etc/php.ini，扩展目录为/usr/lib64/php/modules。

2.3 排查结论

本次排查通过单一phpinfo.php页面发现了完整的服务器环境信息，包括系统标识、路径信息和危险配置等。这些敏感信息的泄露为攻击者提供了充足的攻击依据，证明目标系统存在严重的安全隐患，必须立即采取加固措施

3、风险评估与分析

3.1 泄露信息风险评级

基于phpinfo.php页面泄露的信息，我们识别出以下高危风险点：首要风险是PHP版本7.2.34的泄露，该版本已停止官方安全维护，存在多个已知漏洞，攻击者可直接利用公开漏洞实施攻击。其次是绝对路径/var/www/html的暴露，这为目录遍历和文件包含攻击提供了精准的路径信息。最严重的是危险配置项allow_url_include = On与disable_functions为空的组合风险，这意味着系统不仅允许包含远程恶意文件，还未禁用任何系统命令执行函数，一旦结合其他漏洞，将导致直接的远程代码执行和服务器完全沦陷。

3.2 潜在攻击影响分析

这些泄露信息将引发连锁式安全威胁。攻击者首先利用PHP版本信息寻找对应漏洞，通过路径信息精确定位攻击目标。在获取初步权限后，利用开启的allow_url_include功能包含远程恶意脚本，并通过未禁用的系统函数执行任意命令，最终完全控制服务器。整个攻击过程因信息泄露而变得简单直接，传统的防御措施在此配置下面临失效风险。

3.3 风险等级结论

综合评估，本次phpinfo.php信息泄露漏洞的风险等级为高危。它不仅暴露了系统指纹和关键路径，更揭示了致命的安全配置缺陷，为攻击者提供了清晰的攻击路线图，必须立即采取修复措施。

4、安全加固与防护验证

4.1 立即缓解措施

在CentOS 7靶机上，我们首先进入网站根目录/var/www/html，通过ls命令确认phpinfo.php文件存在后，使用rm -f命令将其永久删除。再次使用ls命令验证，该文件已不存在，如图6所示。

图6  命令执行展示

在Windows 10攻击机上打开火狐浏览器，重新访问网址http://192.168.1.104/phpinfo.php，页面显示”404 Not Found”，证明文件删除成功，初步消除了信息泄露风险。

4.2 根本性加固方案

为了从根本上解决问题，我们编辑了PHP配置文件/etc/php.ini。在配置文件中，将allow_url_include的值从On改为Off，防止远程文件包含漏洞。同时，在disable_functions配置项中添加了system、exec、shell_exec、passthru、phpinfo等危险函数，禁止这些函数在PHP中执行，如图7和图8所示。

图7  修改allow_url_include

图8  修改disable_functions

完成配置修改后，使用systemctl restart httpd命令重启Apache服务，使新的安全配置立即生效，如图9所示。

图9  验证修改

4.3 加固效果验证

在Windows 10攻击机上进行最终验证，持续访问http://192.168.1.104/phpinfo.php，页面始终返回”404 Not Found”错误。这表明即使未来意外上传了类似调试文件，由于phpinfo函数已被禁用，也不会造成敏感信息泄露，如图10所示。

图10  原网址无法访问

通过文件删除、安全配置修复和服务重启的完整流程，我们成功实现了对敏感信息泄露漏洞的深度防护，建立了有效的安全防御机制。

5. 总结

本报告通过一个简单清晰的实战案例，展示了Web应用敏感信息泄露的完整排查与加固流程。相较于教材中抽象的理论描述，本案例为初学者提供了一个可立即上手操作的实践范本。

在本次实践中，我们证明了安全测试并非必须依赖复杂工具。通过浏览器手动访问敏感路径这种最简单的排查方式，就成功发现了高危漏洞。整个流程从环境搭建到漏洞修复，步骤明确、操作简单，任何学习者都能快速复现，极大地降低了安全实践的门槛。

本案例的核心价值在于弥合了理论知识与动手实践之间的鸿沟。通过这个具体的phpinfo.php泄露实例，学习者能够直观理解以下关键知识点：敏感信息泄露的真实形态、漏洞可能造成的实际危害、以及从发现到修复的完整处置流程。

本文由程桂煊同学投稿。

• END –

查看原文：《Web信息泄露排查与安全加固》