C'è una buona ragione per disattivare phpinfo ()?

6

La nuova configurazione del server e l'amministratore del server hanno deciso che phpinfo era troppo spaventoso. Immagino che la paura sia che un hacker possa in qualche modo ottenere phpinfo () per eseguire da php iniettato e scoprire tutte le estensioni che sono installate, le loro versioni, ecc. Ma, come sviluppatore, è bello conoscere tutte le estensioni e le loro versioni , ecc. phpinfo è una vera minaccia? O è solo una precauzione troppo zelante?

    
posta tooshel 06.03.2012 - 18:53
fonte

3 risposte

8

In passato ci sono stati exploit che utilizzano la pagina phpinfo() , usando alcuni server globali come var_dump() quando si generano informazioni variabili.

Questa informazione si limita a aggiungere ciò che webtoe ha da dire, ma è ancora un'altra superficie di attacco di cui dovresti essere stanco quando consideri se i tuoi utenti hanno davvero bisogno di phpinfo() di accesso.

LFI WITH PHPINFO () ASSISTANCE

    
risposta data 06.03.2012 - 19:17
fonte
7

Tipicamente questo viene fatto in quanto gli amministratori di sistema non apprezzano il fatto di dire al mondo intero le versioni del software che stanno eseguendo. La sicurezza attraverso l'oscurità non è un mezzo valido per proteggere i server ma, al contrario, non ha senso dire ai "cattivi" quale versione buggy di un software che stai utilizzando. Devono lavorare per i loro exploit.

Per gli utenti autorizzati, le informazioni da phpinfo dovrebbero essere facilmente ottenibili da altre fonti.

    
risposta data 06.03.2012 - 18:57
fonte
3

È sicurezza attraverso l'oscurità.

La sicurezza attraverso l'oscurità non è affatto una difesa principale per proteggere i tuoi sistemi. Poiché il tuo sistema ha meno informazioni da mostrare, sei un target meno interessante per gli aggressori. Questo non significa che non ci proveranno, ma dovranno provare molto più difficile.

    
risposta data 06.03.2012 - 21:52
fonte

Leggi altre domande sui tag