Какие проблемы безопасности могут возникнуть при представлении phpinfo () конечным пользователям?

Если phpinfo() отображается конечному пользователю, что хуже всего, что вредоносный пользователь может сделать с этой информацией? Какие поля являются наиболее незащищенными? То есть, если ваш phpinfo() был публично отображен, после его снятия, где вы должны смотреть / фокусироваться на вредоносных эксплойтах?

Solutions Collecting From Web of "Какие проблемы безопасности могут возникнуть при представлении phpinfo () конечным пользователям?"

Знание структуры вашей файловой системы может позволить хакерам выполнять атаки обхода каталога, если ваш сайт уязвим для них.

Я думаю, что разоблачение phpinfo () само по себе не обязательно является риском, но в сочетании с другой уязвимостью может привести к взлому вашего сайта.

Очевидно, что менее специфические хакеры информации имеют о вашей системе, тем лучше. Отключение phpinfo () не сделает ваш сайт безопасным, но для них будет немного сложнее.

Помимо очевидного, как возможность видеть, что register_globals включено, и где файлы могут быть расположены в вашем include_path, есть все $_SERVER ( $_SERVER["DOCUMENT_ROOT"] может дать подсказки для определения относительного пути к /etc/passwd ) и $_ENV (удивительно, что люди хранят в $_ENV , например, ключи шифрования)

Самая большая проблема заключается в том, что многие версии упрощают XSS-атаки, печатая содержимое URL-адреса и другие данные, используемые для доступа к нему.

http://www.php-security.org/MOPB/MOPB-08-2007.html

Хорошо настроенная, современная система может позволить себе подвергать phpinfo() без риска.

Тем не менее, можно получить настолько подробную информацию, особенно версии модулей, которые могут облегчить жизнь взломщика при появлении вновь обнаруженных эксплойтов – что я считаю хорошей практикой не оставлять их. Особенно на совместном хостинге, где вы не имеете никакого влияния на повседневную администрацию сервера.

Хакеры могут использовать эту информацию для поиска уязвимостей и взлома вашего сайта.

Честно говоря, немного. Лично я часто оставляю phpinfo() вверх.

Если у вас есть некоторые серьезные неправильные конфигурации (например, PHP работает от имени пользователя root), или вы используете старые и уязвимые версии некоторых расширений или самого PHP, эта информация будет более раскрыта. С другой стороны, вы также не будете защищены, не подвергая phpinfo() ; вам следует вместо этого заботиться о том, чтобы ваш сервер обновлялся и правильно настраивался.