Genel phpinfo () sayfasına sahip olmanın güvenlik riskleri?


10

Genel kullanıma açık bir sayfam var.

<?php phpinfo(); >

Beta sürümündeyken hata ayıklama amacıyla kullanıyorum, ancak canlı bir site olduğunda erişilebilir bırakmanın herhangi bir zararı var mı?

Yanıtlar:


11

Tamamen PHP kurulumunuzdan ne kadar emin olduğunuza bağlı olacaktır. Kaya gibi sağlam olduğunu düşünüyorsanız, bir saldırgan PHP kurulumunuz hakkında her şeyi bilse bile, yerinde bırakabilirsiniz.

Ama gerçekten, bunu neden bir üretim sisteminde bırakasın ki? PHP sürümünüzde farkında olmadığınız istismarlar olabilir - insanlar şimdi veya gelecekte PHP sürümünüzü veya etkinleştirdiğiniz belirli seçenekleri tarayabilirler, çünkü bu istismarları nasıl gerçekleştireceklerini bilirler. Bu yüzden bunu herkese açık olarak tutarak, onların hit listesine eklediniz.

Devam etmek istiyorsanız, şifre korumalı bir dizine koyabilir veya ihtiyacınız olduğunda açabilirsiniz. Bu seçeneklerin düşük maliyeti göz önüne alındığında, bunu halka açık tutma riskini göze alamazdım.


2
İşlev çağrısını koşullu bir şekilde sarmak genellikle hile yapar - yani <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>( 1.2.3.4IP adresiniz nerede )
danlefree

Teşekkürler @ dunxd - ve teşekkürler @ danlefree ipucu için ... hala phpinfos maruz birçok site var!
siliconpi

1
Phpmyadmin de ortaya koyan bir çok site var - diğer insanların düşük güvenlik örneklerini takip etmeyin. Sizinkine değer verdiğiniz kadar onların verilerine veya sunucularının bütünlüğüne değer vermeyebilirler.
dunxd

@ Dunxd'nin çözümü kapsamlı ve mükemmel olsa da, @ danlefree'nin soruna çözümünü gerçekten seviyorum. Bunu neden daha önce hiç düşünmediğimden emin değilim ve ileride bu modeli kullanacağım. Konuya devam etmek için, ben de PHP bir phpinfo()fonksiyonda kamusal olarak açığa akıllıca bir fikir olmadığını düşünüyorum da eklemek istiyorum .
justinhartman
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.