宁波网信办安全监测测试余姚市XXXXXX有限公司所属门户网站存在信息泄露漏洞

admin

经查，服务器设置确实存在404泄露网站目录的漏洞。
答：如果服务器未攻克，此漏洞并不存在安全隐患，只是属于可见漏洞，并不存在攻克绝对性，存在风险可能。
就如同你已经获得一张山形地图，但你必须到达山内方可用上此地图，如果你进不了山，地图又有何用？
因此，这个风险系数是比较低的，因为您的服务器一但被攻克了，泄露不泄露目录的意义是等于零的，黑客只需几秒就可以找到网站目录。

但这毕竟是一个漏洞，为此，我们做了以下安排：
1、服务器设定404的跳转服务，指引到一个安全的目录文件，但这个方案需要设置IIS服务器，为此我们采用了第2个方案
2、在弘帝建站系统web.config添加了一行代码，如下：
<configuration>
  <system.webServer>
    <httpErrors errorMode="Custom" existingResponse="Replace">
      <!-- 移除默认的404错误配置 -->
      <remove statusCode="404" subStatusCode="-1" />
      <!-- 配置404重定向到首页，关键是responseMode="Redirect" -->
      <error
        statusCode="404"
        path="/"  <!-- 首页路径，若首页是index.html可写/index.html -->
        responseMode="Redirect"  <!-- 改为Redirect才会改变浏览器URL -->
        prefixLanguageFilePath=""  <!-- 清空语言前缀，避免路径异常 -->
      />
    </httpErrors>
  </system.webServer>
</configuration>
代码解释如下：
responseMode="Redirect"        核心：从 “后台执行 URL（不改变地址栏）” 改为 “浏览器端重定向（改变地址栏）”，此时浏览器会收到 302 响应，自动跳转到path指定的首页，URL 同步更新。
existingResponse="Replace"        强制用自定义 404 配置覆盖 IIS 默认的 404 响应，避免配置不生效。
subStatusCode="-1"        匹配所有 404 子状态码（如 404.0、404.1 等），确保所有 404 场景都触发重定向。

为了更好的利用SEO，我们也可以参考AI的调整方案如下：
<error
  statusCode="404"
  path="/"
  responseMode="Redirect"
  redirectMode="Permanent"  <!-- 新增：301永久重定向 -->
  prefixLanguageFilePath=""
/>
上述方案实施，无论出现何种404错误，都将自动跳往首页，确保了网站正常运行，也保证了目录泄露错误的杜绝。