我最近对我的一个应用程序进行了漏洞扫描,它指出我的'composer / installed.json'文件是可访问的,并且可能暴露敏感信息。扫描程序认为这是“高”漏洞。
可以说,我没有找到任何体面的信息来解决此问题。
首先,删除此文件安全吗?还是对composer.json和composer.lock之外的关键要求?
如果不是,是否应该对我的Apache虚拟主机或该文件夹中的'.htaccess'文件进行操作,以防止对该文件的访问?
[威胁细节也特别强调了这一部分,所以我不确定它是否与教义有更多关系,这是某些因素的依存关系。
"suggest": {
"doctrine/cache": "**Adds support for caching of credentials and responses**",
"ext-apc": "Allows service description opcode caching, request and response caching, and credentials caching",
"ext-openssl": "Allows working with CloudFront private distributions and verifying received SNS messages",
"monolog/monolog": "Adds support for logging HTTP requests and responses",
"symfony/yaml": "Eases the ability to write manifests for creating jobs in AWS Import/Export"
},
任何想法都将不胜感激!
谢谢
詹姆斯
如果您的./vendor
目录(该文件为vendor/composer/installed.json
)可通过浏览器访问,则问题要比JSON文件大。
唯一可下载的目录是您的./public
(或也许./web
)目录,其中带有index.php文件(“前端控制器”)以及css,javascript,图像和其他文件您的网站,则需要在浏览器中下载。
[该文件是Composer关于其他哪些软件包构成了供应商目录的其余部分的说明-并以与composer.json
文件类似的方式从其他软件包中的composer.lock
文件组装而成。