Masquer PHP
Vous pouvez également masquer le fait que vous utilisez PHP pour alimenter votre site Web, ou au moins le rendre moins évident. Utilisez la directive expose_php pour éviter d'ajouter des informations sur la version php à la fin de la signature du serveur Web. Interdire l'accès à phpinfo() empêche les attaquants d'obtenir le numéro de version de votre logiciel et d'autres informations importantes. En changeant l'extension du document, il est moins évident que ces pages correspondent à des scripts PHP.
1.expose_php=On|Off
Portée : PHP_INI_SYSTEM ; Valeur par défaut : Activé.
Lorsqu'elle est activée, la directive PHP expose_php ajoute des détails à la signature du serveur. Par exemple, si ServerSignature est activé, ServerTokens est défini sur Full et cette directive est activée, la partie pertinente du fichier de signature du serveur est la suivante :
Apache/2.0.44(Unix) DAV/2 PHP/5.0. 0b3-dev Serveur sur www.example.com Port 80
Si expose_php est désactivé, la signature du serveur ressemble à ceci :
Apache/2.0.44(Unix) DAV/2 Serveur sur www.example.com Port 80
2. Supprimez toutes les instances d'appels phpinfo()
La fonction phpinfo() fournit un excellent outil pour afficher un résumé de la configuration PHP sur un serveur spécifié. Cependant, comme ils ne sont pas protégés sur le serveur, ces fichiers constituent une mine d’or pour les attaquants. Par exemple, cette fonction peut générer des informations sur le système d'exploitation, les versions de PHP et du serveur Web, les indicateurs de configuration et un rapport détaillé sur toutes les extensions disponibles et leurs versions. Si un attaquant est autorisé à accéder à ces informations, les vulnérabilités potentielles des attaques sont plus susceptibles d'être découvertes et exploitées.
Malheureusement, il semble que de nombreux développeurs ignorent ces vulnérabilités ou ne s'en soucient pas, car le simple fait de taper phpinfo.php dans un moteur de recherche obtiendra environ 336 000 résultats, dont beaucoup mèneront directement à l'exécution de phpinfo. (), fournissant ainsi une multitude d'informations sur le serveur. Pour les versions PHP fragiles antérieures. Modifiez simplement rapidement les termes de recherche et ajoutez d'autres mots-clés pour obtenir un sous-ensemble des résultats d'origine, qui deviendront la cible principale des attaques car ils utilisent des versions non sécurisées connues de PHP, Apache, IIS et diverses extensions prises en charge.
Permettre aux autres de voir les résultats de phpinfo() fournit essentiellement au public une feuille de route décrivant les nombreuses fonctionnalités techniques et défauts de votre serveur. Ne soyez pas victime d'une attaque simplement parce que vous avez été paresseux et que vous n'avez pas réussi à supprimer ou à protéger ce fichier.
3. Modifier l'extension de document
Les documents compatibles PHP sont généralement identifiés par leurs extensions uniques, les plus courantes incluent. php, php3 et . phtml. Saviez-vous que cela peut être facilement remplacé par une autre extension de votre choix ? Vous pouvez même le changer en .html, .asp ou. jsp?, pour cela, modifiez simplement la ligne suivante dans le fichier httpd.conf :
Addtype application/x-httpd-php .php
Ajoutez l'extension de votre choix, par exemple :
AddType application/x - httpd-php .asp
Bien sûr, assurez-vous que cela ne provoque pas de conflits avec d'autres technologies de serveur installées.
Pour plus d'articles techniques liés à PHP, veuillez visiter la colonne Tutoriel PHP pour apprendre !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!