如果phpinfo()向最终用户显示转储,恶意用户可以对该信息执行的最差情况是什么?什么领域最不安全?也就是说,如果您phpinfo()公开展示,在关闭之后,您应该在哪里观看/关注恶意攻击?
了解文件系统的结构可能允许黑客在您的站点容易受到攻击时执行目录遍历攻击.
我认为单独暴露phpinfo()不一定是风险,但与其他漏洞结合可能会导致您的网站遭到入侵.
显然,黑客对您的系统的具体信息越少越好.禁用phpinfo()不会使您的网站安全,但会使它们稍微困难一些.
除了显而易见的是能够看到是否register_globals打开,以及文件可能位于include_path中的位置,还有所有$_SERVER($_SERVER["DOCUMENT_ROOT"]可以提供定义相对路径名的线索/etc/passwd)和$_ENV信息(人们存储的内容很惊人$_ENV,例如加密密钥)
最大的问题是许多版本通过打印URL的内容和用于访问它的其他数据来简化XSS攻击.
http://www.php-security.org/MOPB/MOPB-08-2007.html
一个配置良好,最新的系统可以承受暴露phpinfo()而没有风险.
尽管如此,仍然可以掌握如此详细的信息 - 特别是模块版本,这可能会使新发现的漏洞出现时更容易破解生活 - 我认为最好不要将它们留下来.特别是在共享主机上,您对日常服务器管理没有任何影响.
京公网安备 11010802040832号 | 京ICP备19059560号-6 