安全威胁-composer / installed.json

问题描述 投票:1回答:1

我最近对我的一个应用程序进行了漏洞扫描,它指出我的'composer / installed.json'文件是可访问的,并且可能暴露敏感信息。扫描程序认为这是“高”漏洞。

可以说,我没有找到任何体面的信息来解决此问题。

首先,删除此文件安全吗?还是对composer.json和composer.lock之外的关键要求?

如果不是,是否应该对我的Apache虚拟主机或该文件夹中的'.htaccess'文件进行操作,以防止对该文件的访问?

[威胁细节也特别强调了这一部分,所以我不确定它是否与教义有更多关系,这是某些因素的依存关系。

"suggest": {
      "doctrine/cache": "**Adds support for caching of credentials and responses**",
      "ext-apc": "Allows service description opcode caching, request and response caching, and credentials caching",
      "ext-openssl": "Allows working with CloudFront private distributions and verifying received SNS messages",
      "monolog/monolog": "Adds support for logging HTTP requests and responses",
      "symfony/yaml": "Eases the ability to write manifests for creating jobs in AWS Import/Export"
    },

任何想法都将不胜感激!

谢谢

詹姆斯

php security composer-php owasp
1个回答
0
投票

如果您的./vendor目录(该文件为vendor/composer/installed.json)可通过浏览器访问,则问题要比JSON文件大。

唯一可下载的目录是您的./public(或也许./web)目录,其中带有index.php文件(“前端控制器”)以及css,javascript,图像和其他文件您的网站,则需要在浏览器中下载。

[该文件是Composer关于其他哪些软件包构成了供应商目录的其余部分的说明-并以与composer.json文件类似的方式从其他软件包中的composer.lock文件组装而成。

© www.soinside.com 2019 - 2024. All rights reserved.