Hace un tiempo vimos de que se trataba una
vulnerabilidad de tipo Full Path Disclosure, hoy les quería dejar tres alternativas para poder mitigar este tipo de fallo, que como vimos, puede llegar a revelar información sobre la disposición de nuestros directorios, nombres de archivos, etc.
Evitar un FPD es tan simple como desactivar la visualización de los mensajes de errores. Claro está que este tipo de configuraciones son imprescindibles en los servidores de producción, ya que se supone que en una etapa previa de desarrollo fueron depuradas todas las funciones.
Si tenemos la posibilidad de configurar el archivo
php.ini podemos utilizar la directiva
display_errors
display_errors = 'off'
Si tenemos la posibilidad de editar nuestro archivo
.htaccess podemos escribir la siguiente directiva
php_flag display_errors off
Finalmente, podemos setear no visualizar los mensajes de error en tiempo de ejecución desde el mismo
script escrito en PHP haciendo uso de la función init_set()
init_set('display_errors', false);
De esta manera, la idea es limitar por los diferentes medio la exposición de información por un simple error en tiempo de ejecución que revela información de nuestra estructura de directorios y archivos.
A poner en práctica estos consejos y espero todos sus comentarios y consultas.
Saludos!
