PHP ausblenden
Sie können auch die Tatsache verbergen, dass Sie PHP für den Betrieb Ihrer Website verwenden, oder es zumindest weniger offensichtlich machen. Verwenden Sie die Anweisung „exposure_php“, um das Anhängen von PHP-Versionsinformationen am Ende der Webserver-Signatur zu vermeiden. Durch das Verbieten des Zugriffs auf phpinfo() wird verhindert, dass Angreifer an die Versionsnummer Ihrer Software und andere wichtige Informationen gelangen. Durch die Änderung der Dokumenterweiterung ist es weniger offensichtlich, dass diese Seiten PHP-Skripten zugeordnet werden.
1.expose_php=On|Off
Scope: PHP_INI_SYSTEM; Standardwert: On.
Wenn die PHP-Direktive „exposure_php“ aktiviert ist, hängt sie Details an die Serversignatur an. Wenn beispielsweise ServerSignature aktiviert ist, ServerTokens auf „Full“ gesetzt ist und diese Direktive aktiviert ist, lautet der relevante Teil der Serversignaturdatei wie folgt:
Apache/2.0.44(Unix) DAV/2 PHP/5.0. 0b3-dev Server unter www.example.com Port 80
Wenn „exposure_php“ deaktiviert ist, sieht die Serversignatur wie folgt aus:
Apache/2.0.44(Unix) DAV/2 Server unter www.example.com Port 80
2. Entfernen Sie alle Instanzen von phpinfo()-Aufrufen
Die phpinfo()-Funktion bietet ein großartiges Tool zum Anzeigen einer Zusammenfassung der PHP-Konfiguration auf einem bestimmten Server. Da sie jedoch ungeschützt auf dem Server liegen, stellen diese Dateien eine Goldgrube für Angreifer dar. Diese Funktion kann beispielsweise Informationen über das Betriebssystem, PHP- und Webserverversionen, Konfigurationsflags und einen detaillierten Bericht über alle verfügbaren Erweiterungen und deren Versionen generieren. Wenn einem Angreifer der Zugriff auf diese Informationen gestattet wird, ist es wahrscheinlicher, dass potenzielle Angriffsschwachstellen entdeckt und ausgenutzt werden.
Leider scheinen sich viele Entwickler dieser Schwachstellen nicht bewusst zu sein oder sich nicht darum zu kümmern, denn allein die Eingabe von phpinfo.php in eine Suchmaschine führt zu etwa 336.000 Ergebnissen, von denen viele direkt zur Ausführung von phpinfo führen ()-Befehlsdatei und stellt so eine Fülle von Informationen über den Server bereit. Für frühere fragile PHP-Versionen. Ändern Sie einfach schnell die Suchbegriffe und fügen Sie weitere Schlüsselwörter hinzu, um eine Teilmenge der ursprünglichen Ergebnisse zu erhalten, die zum Hauptziel von Angriffen werden, da sie bekanntermaßen unsichere Versionen von PHP, Apache, IIS und verschiedenen unterstützten Erweiterungen verwenden.
Wenn Sie anderen erlauben, die Ergebnisse von phpinfo() einzusehen, erhalten Sie im Wesentlichen eine Roadmap für die Öffentlichkeit, die die vielen technischen Funktionen und Mängel Ihres Servers beschreibt. Werden Sie nicht Opfer eines Angriffs, nur weil Sie faul waren und es versäumt haben, diese Datei zu löschen oder zu schützen.
3. Dokumenterweiterung ändern
PHP-fähige Dokumente werden im Allgemeinen durch ihre eindeutigen Erweiterungen identifiziert, zu den häufigsten gehören. php, php3 und . phtml. Wussten Sie, dass dies problemlos in eine andere gewünschte Erweiterung geändert werden kann? Es kann sogar in .html, .asp oder geändert werden. jsp?, ändern Sie dazu einfach die folgende Zeile in der Datei httpd.conf:
Addtype application/x-httpd-php .php
Fügen Sie eine beliebige Erweiterung hinzu, zum Beispiel:
AddType application/x - httpd-php .asp
Selbstverständlich stellen Sie sicher, dass dies keine Konflikte mit anderen installierten Servertechnologien verursacht.
Weitere technische Artikel zum Thema PHP finden Sie in der Spalte PHP-Tutorial, um mehr darüber zu erfahren!
Das obige ist der detaillierte Inhalt vonMethode und Prozess zum Ausblenden des Suffixes (.PHP) in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!