【发布时间】:2011-03-12 21:07:44
【问题描述】:
如果向最终用户显示phpinfo() 转储,恶意用户可以使用该信息做的最糟糕的事情是什么?哪些领域最不安全?也就是说,如果您的phpinfo() 被公开显示,那么在将其删除后,您应该在哪里观察/关注恶意攻击?
【问题讨论】:
【发布时间】:2011-03-12 21:07:44
【问题描述】:
如果您的网站容易受到黑客攻击,了解您的文件系统的结构可能会让黑客执行目录遍历攻击。
我认为单独暴露 phpinfo() 不一定有风险,但与其他漏洞结合使用可能会导致您的网站遭到入侵。
显然,黑客对您系统的具体信息越少越好。禁用 phpinfo() 不会使您的网站安全,但会让他们更难。
【讨论】:
除了能够查看register_globals 是否打开以及文件可能位于include_path 中的位置之外,还有所有$_SERVER($_SERVER["DOCUMENT_ROOT"] 可以提供线索来定义/etc/passwd 的相对路径名) 和$_ENV 信息(人们在$_ENV 中存储的内容令人惊讶,例如加密密钥)
【讨论】:
-
我很好奇.. 使用 PHPDotEnv 我将我所有的密码、API 令牌等放在 .env 文件中,出于安全目的,该文件在 .gitignore 中列出。然后可以通过
env('CONSTANT_NAME')和$_ENV['CONSTANT_NAME']进行所有配置。这是否被视为安全风险?如果是这样,那么您将这些数据存储在哪里?
最大的问题是许多版本通过打印 URL 的内容和用于访问它的其他数据来简化 XSS 攻击。
【讨论】:
配置良好的最新系统可以毫无风险地公开phpinfo()。
尽管如此,仍然可以获得如此多的详细信息 - 尤其是模块版本,当新发现的漏洞出现时,它可以让破解者的生活更轻松 - 我认为这是一种很好的做法不是让他们离开。尤其是在共享主机上,您对日常服务器管理没有影响。
【讨论】:
-
如果是(免费)共享主机,攻击者不能在我的旁边创建一个网站并调查他们自己的网站,并假设我的网站与他们的非常相似吗?
-
@TWiStErRob 当然,但这将是极其罕见的 - 很少有人会使用免费托管服务来处理任何严重的事情,即使那样你也不知道你是否会结束在同一个服务器上。
黑客可以使用这些信息来查找漏洞并入侵您的网站。
【讨论】:
-
你再模糊不过了。
-
这太模糊了。 “入侵他的网站”?如何?什么样的漏洞?您能否举一些可能以这种方式暴露的漏洞示例?
-
只是谷歌'phpinfo hack'。版本信息和安装的模块构成了黑客可以用来攻击旧版本和未修补版本中的特定漏洞的信息。
老实说,不多。就个人而言,我经常将phpinfo() 翻页。
如果您有一些严重的错误配置(例如 PHP 以 root 身份运行),或者您正在使用某些扩展或 PHP 本身的旧版本和易受攻击的版本,则此信息将更加暴露。另一方面,你也不会因为不暴露phpinfo()而受到保护;相反,您应该注意让您的服务器保持最新并正确配置。
【讨论】:
-
也许发布一个链接,在您的某个站点中可以看到 phpinfo(),让我们来试验一下它是否经得起时间的考验。我当然不知道如何利用它,但也许我们都会以一种或另一种方式从中学习。如果您不确定自己的行为,那么最好不要这样做!