Какие проблемы безопасности могли прибыть из представления phpinfo () к конечным пользователям?
Если a phpinfo() дамп показывают конечному пользователю, что хуже, который злонамеренный пользователь мог сделать с той информацией? Какие поля являются самыми небезопасными? Таким образом, если Ваш phpinfo() был публично отображен, после приведения в нерабочее состояние его, где необходимо наблюдать/фокусировать за злонамеренным использованием?
5 ответов
Знание структуры вашей файловой системы может позволить хакерам выполнять атаки обхода каталогов, если ваш сайт уязвим для них.
Я думаю, что раскрытие phpinfo () само по себе не обязательно является риском, но в сочетании с другой уязвимостью может привести к взлому вашего сайта.
Очевидно, что чем меньше у хакеров конкретной информации о вашей системе, тем лучше. Отключение phpinfo () не сделает ваш сайт безопасным, но сделает его немного сложнее для них.
Хорошо сконфигурированная, актуальная система может позволить себе предоставлять phpinfo() без риска.
Тем не менее, можно получить так много подробной информации - особенно версии модулей, которые могут облегчить жизнь взломщика, когда появязываются недавно обнаруженные эксплойты .что я думаю, что это хорошая практика не оставить их в помойку. Особенно на виртуальном хостинге, где вы не имеете никакого влияния на повседневное администрирование сервера.
Хакеры могут использовать эту информацию для поиска уязвимостей и взлома вашего сайта.
Помимо очевидных вещей, таких как возможность увидеть, включен ли register_globals, и где файлы могут быть расположены в вашем include_path, есть все $_SERVER ($_SERVER["DOCUMENT_ROOT"] может дать подсказки для определения относительного пути к /etc/passwd) и $_ENV информация (удивительно, что люди хранят в $_ENV, например, ключи шифрования)
Честно говоря, немного. Лично я часто оставляю страницы phpinfo () вверх.
Если у вас есть серьезные ошибки в конфигурации (например, PHP работает от имени пользователя root), или вы используете старые и уязвимые версии некоторых расширений или самого PHP, эта информация будет более открытой. С другой стороны, вы также не будете защищены, если не покажете phpinfo () ; вместо этого вам следует позаботиться о том, чтобы ваш сервер был обновлен и правильно настроен.