Làm sao để giải quyết lỗi Full Path Disclosure (lộ đường dẫn thư mục/tập tin)
Lỗi Full Path Disclosure thường xuất hiện trong quá trình vận hành website, và bị exception, và site của bạn sẽ hiển thị thông tin kèm theo đường dẫn chỉ rõ dòng code nào của file nào xảy ra lỗi. Với tình huống này thì chúng ta chỉ cần fix theo hướng cho website hiển thị một error page với message chung chung kiểu như "Đã có lỗi xảy ra, liên hệ administrator để được khắc phục sự cố".
NHƯNG, trong trường hợp website hoạt động bình thường, tại một form nào đó được thiết kế để hiển thị đường dẫn của thư mục/tập tin lên UI thì sao? Theo WhiteHat Security thì đây là lỗi bảo mật, và cần phải fix.
Hiện tại mình đang gặp tình huống như vậy, và đang cần mọi người chia sẻ góp ý giải quyết nó.
Cụ thể, website của mình có cho hiển thị đường dẫn thư mục lên UI ở 2 modes: View Mode và Edit Mode, ví dụ
"D:\AutoCAD\CAD_DWG\TEST_SP\Publish"
và mình fix lỗi bảo mật này bằng cách giấu đi tên ổ đĩa lưu trữ ở View Mode, kết quả:
Vấn đề xuất hiện ở Edit Mode, ở mode này mình cho phép người dùng edit giá trị. Như vậy thì cách làm như View Mode là giấu đi tên ổ đĩa là không khả thi.
Theo kinh nghiệm xử lí của mọi người, thì tình huống này nên giải quyết ra sao. Mục đích của mình là không cho phép hiển thị đường dẫn rỗ mồng một lên UI như vậy được.
NHƯNG, trong trường hợp website hoạt động bình thường, tại một form nào đó được thiết kế để hiển thị đường dẫn của thư mục/tập tin lên UI thì sao? Theo WhiteHat Security thì đây là lỗi bảo mật, và cần phải fix.
Hiện tại mình đang gặp tình huống như vậy, và đang cần mọi người chia sẻ góp ý giải quyết nó.
Cụ thể, website của mình có cho hiển thị đường dẫn thư mục lên UI ở 2 modes: View Mode và Edit Mode, ví dụ
"D:\AutoCAD\CAD_DWG\TEST_SP\Publish"
và mình fix lỗi bảo mật này bằng cách giấu đi tên ổ đĩa lưu trữ ở View Mode, kết quả:
Vấn đề xuất hiện ở Edit Mode, ở mode này mình cho phép người dùng edit giá trị. Như vậy thì cách làm như View Mode là giấu đi tên ổ đĩa là không khả thi.
Theo kinh nghiệm xử lí của mọi người, thì tình huống này nên giải quyết ra sao. Mục đích của mình là không cho phép hiển thị đường dẫn rỗ mồng một lên UI như vậy được.