Sam Asked: 2021-08-26 03:54:18 +0800 CST2021-08-26 03:54:18 +0800 CST 2021-08-26 03:54:18 +0800 CST phpinfo中的哪些信息是敏感信息? 772 我被告知 phpinfo 包含敏感数据,因此您应该在生产环境中将其删除。但是今天下午我仔细看了看,并没有发现任何有趣的东西。所以这是我的问题。到底什么是敏感的?攻击者将如何使用这些信息?或者她/他会从配置页面知道什么? php security php-fpm 3 个回答 Voted bob 2021-08-26T04:39:16+08:002021-08-26T04:39:16+08:00 一般来说,安全问题是,您的基础设施和应用程序“泄露”的信息越多(通过披露产品名称、版本和功能),攻击者收集信息所需的工作就越少,他们就越容易快速定位特定目标。 (已知)漏洞。 这使得它成为生产环境中的最佳实践,其中包括抑制版本号、禁用调试代码/选项(如phpinfo())、抑制错误消息等等...... Best Answer Lex Li 2021-08-26T07:20:00+08:002021-08-26T07:20:00+08:00 一个例子。 如果您的phpinfo页面显示您正在使用带有某些 PHP 模块的 Windows Server 2008 和 PHP 5.6,那么攻击者可以轻松控制您的服务器,因为, Windows server 2008 已结束生命周期,微软将不再修复安全问题。 PHP 5.6 生命周期结束,安全问题不再修复。 某些模块有自己的漏洞,这为攻击者打开了大门。 即使您使用最新的 Windows 和 PHP 版本,也存在零日漏洞。 您向外界透露的信息越少,攻击者就越难以利用。 您最好聘请安全顾问并了解更多信息。 Dan Miller 2021-08-26T08:38:30+08:002021-08-26T08:38:30+08:00 泄露的有关您的服务器的每一点信息都可能存在问题。如果您不在 httpd.conf 中禁用它,即使是 apache 横幅也会泄露,也可能导致妥协。例如,访问exploit-db.com 并查看所有针对Apache 的漏洞。请注意,大多数影响特定版本。因此,现在通过 phpinfo 公开该信息,脚本小子可以轻松地自动攻击您的系统。即使它被修补仍然会导致问题,至少交通中断。而如果他们没有版本,那么他们通常不会运行任何东西。许多 apache mods 过去都遇到过问题 - phpinfo 暴露的另一件事。某些本地漏洞在某些内核上运行 - 又是 phpinfo... 它还显示了您正在使用的数据库 - 因此攻击者立即知道尝试使用哪些命令来进行 sql 注入攻击。某些版本容易受到特定漏洞的攻击。 您还可以从 phpinfo 中猜测诸如用户名、用户名格式、目录结构等信息...一些您需要知道目录结构的攻击,例如 PUT 攻击,通常攻击者必须做出有根据的猜测,但是phpinfo 将这些信息放在那里。 甚至诸如服务器管理员之类的信息,您也可以使用谷歌搜索并可能在 StackExchange 上找到他们的安全问题...... 基本上,对于任何潜在的攻击者来说,phpinfo 都是一个大菜单。盖住那个****。当您使用它时,请隐藏您的横幅版本,除非您出于某种原因需要该信息。
一般来说,安全问题是,您的基础设施和应用程序“泄露”的信息越多(通过披露产品名称、版本和功能),攻击者收集信息所需的工作就越少,他们就越容易快速定位特定目标。 (已知)漏洞。
这使得它成为生产环境中的最佳实践,其中包括抑制版本号、禁用调试代码/选项(如
phpinfo())、抑制错误消息等等......一个例子。
如果您的
phpinfo页面显示您正在使用带有某些 PHP 模块的 Windows Server 2008 和 PHP 5.6,那么攻击者可以轻松控制您的服务器,因为,您向外界透露的信息越少,攻击者就越难以利用。
您最好聘请安全顾问并了解更多信息。
泄露的有关您的服务器的每一点信息都可能存在问题。如果您不在 httpd.conf 中禁用它,即使是 apache 横幅也会泄露,也可能导致妥协。例如,访问exploit-db.com 并查看所有针对Apache 的漏洞。请注意,大多数影响特定版本。因此,现在通过 phpinfo 公开该信息,脚本小子可以轻松地自动攻击您的系统。即使它被修补仍然会导致问题,至少交通中断。而如果他们没有版本,那么他们通常不会运行任何东西。许多 apache mods 过去都遇到过问题 - phpinfo 暴露的另一件事。某些本地漏洞在某些内核上运行 - 又是 phpinfo...
它还显示了您正在使用的数据库 - 因此攻击者立即知道尝试使用哪些命令来进行 sql 注入攻击。某些版本容易受到特定漏洞的攻击。
您还可以从 phpinfo 中猜测诸如用户名、用户名格式、目录结构等信息...一些您需要知道目录结构的攻击,例如 PUT 攻击,通常攻击者必须做出有根据的猜测,但是phpinfo 将这些信息放在那里。
甚至诸如服务器管理员之类的信息,您也可以使用谷歌搜索并可能在 StackExchange 上找到他们的安全问题......
基本上,对于任何潜在的攻击者来说,phpinfo 都是一个大菜单。盖住那个****。当您使用它时,请隐藏您的横幅版本,除非您出于某种原因需要该信息。