phpinfo()
덤프가 최종 사용자에게 표시되면 악의적 인 사용자가 해당 정보로 수행 할 수있는 최악의 상황은 무엇입니까? 가장 안전하지 않은 필드는 무엇입니까? 즉, 귀하의 phpinfo()
이 공개적으로 표시 되었다면 그것을 취한 후에 악의적 인 공격을 감시하거나 집중해야 할 곳은 어디입니까?최종 사용자에게 phpinfo()가 노출 될 때 발생할 수있는 보안 문제는 무엇입니까?
답변
파일 시스템의 구조를 알면 해커가 사이트가 취약 할 경우 디렉토리 트래버스 공격을 실행할 수 있습니다.
나는 phpinfo()가 위험에 반드시 노출되는 것은 아니지만 다른 취약점과 함께 사이트가 손상 될 수 있다고 생각합니다.
분명히 덜 구체적인 정보 해커가 시스템에 대해 가지고있는 것이 좋습니다. phpinfo()를 비활성화해도 사이트가 안전하지는 않지만 사이트에 대해 약간 더 어려워 질 것입니다.
해커는이 정보를 사용하여 취약점을 찾고 사이트를 해킹 할 수 있습니다. register_globals
이 On 및 파일이 당신의 include_path에있을 수 있습니다 어디에 있는지 볼 수있는 같은 명백한 게다가
는 모든 ($_SERVER["DOCUMENT_ROOT"]
상대 /etc/passwd
에 경로 이름을 정의하는 단서를 제공 할 수 있습니다) 및 $_ENV
정보를 (이 놀라운 $_SERVER
을 년대있다 사람들이 $_ENV
에 저장하는 것, 암호화 키 등)
솔직히별로 많지 않습니다. 개인적으로 나는 자주 phpinfo()
페이지를 남겨 둡니다.
PHP가 루트로 실행되는 등 심각한 구성 오류가 있거나 일부 확장 프로그램이나 PHP 자체의 예전 버전과 취약한 버전을 사용하는 경우이 정보가 더 많이 노출됩니다. 반면에, 당신은 또한 노출되지 않음으로써 보호받지 못할 것입니다. phpinfo()
; 대신 서버를 최신 상태로 올바르게 구성해야합니다.
잘 구성된 최신 시스템은 위험없이 phpinfo()
을 노출 할 수 있습니다.
그래도 새로 발견 된 악용 사례가 발견되면 크래커의 삶을 편하게 할 수있는 모듈 버전과 같은 많은 정보를 얻을 수 있습니다. 이 아닌을 사용하지 않는 것이 좋습니다. . 특히 일상적인 서버 관리에 영향을 미치지 않는 공유 호스팅에서.
(무료) 공유 호스팅 인 경우 공격자가 광산 옆에 웹 사이트를 만들고 자신의 웹 사이트를 조사 할 수 없으며 광산이 그들의 것? – TWiStErRob
@TWiStErRob 확실하지만, 극히 드문 것입니다. 극소수의 사람들이 심각한 호스팅 서비스를 무료로 사용할 예정이며, 심지어 동일한 서버에서 종료 될지 여부는 알 수 없습니다. –
가장 큰 문제는 URL의 내용과 액세스에 사용 된 다른 데이터를 인쇄하여 XSS 공격을 간단하게 만듭니다.
- 1. SSO 구현시 발생할 수있는 보안 문제는 무엇입니까?
- 2. DurableInstancing.InstanceNotReadyException의 원인이 될 수있는 문제는 무엇입니까?
- 3. 메모리 제한 설정시 발생할 수있는 잠재적 문제는 무엇입니까?
- 4. JSF의 보안 문제는 무엇입니까?
- 5. 공유 호스팅에 Symfony를 설치할 때 발생할 수있는 문제점은 무엇입니까
- 6. URL에 세션 토큰을 보내는 보안 문제는 무엇입니까?
- 7. FBO 사용시 문제 : 처음에는 렌더링 만 전달합니다. 렌더 타겟을 다시 설정할 때 발생할 수있는 문제는 무엇입니까?
- 8. 최종 사용자에게 sqlite 드라이버를 전달하는 방법은 무엇입니까?
- 9. ! important를 사용하면 사이트 사용자에게 문제가 발생할 수있는 방법과 장소는 어디입니까?
- 10. 웹 서비스 노출, 보안 문제
- 11. Java에서 예외가 발생할 경우 최종 변수에 할당
- 12. Eclipse에서 클리닝 할 때 오류 메시지가 발생할 수있는 이유는 무엇입니까?
- 13. 웹 보안 문제는 여기에서 찾을 수 있습니까?
- 14. 최종 사용자에게 전송 된 보고서의 문서 레이아웃
- 15. Facebook API 비법을 공개 할 때 발생할 수있는 문제점은 무엇입니까?
- 16. MVC는 서버에서 이벤트가 발생할 때 사용자에게 알림을 표시합니다.
- 17. 캡처 화면, 서버에 저장하고 최종 사용자에게 스트림
- 18. MSXML4에서 MSXML6으로 전환 할 때 발생할 수있는 문제점은 무엇입니까?
- 19. Camera.release()를 실행할 때 NullPointerException이 발생할 수있는 이유는 무엇입니까?
- 20. 사용자 코드 평가의 보안 문제는 무엇입니까?
- 21. PHPinfo가 빈 페이지를 반환합니다
- 22. 짧은 읽기/쓰기가 발생할 수있는 조건은 무엇입니까?
- 23. 보안 토큰 문제는 응용 프로그램을 구축 할 때
- 24. xmlrpclib.ResponseError : ResponseError()가 발생할 수있는 원인은 무엇입니까?
- 25. phpinfo가 호출되지 않은 페이지에 표시됩니다.
- 26. Facebook 사용자에게 알림을 보낼 수있는 기능은 무엇입니까?
- 27. 최종 사용자에게 런타임 양식 디자이너를 제공하려면 어떻게합니까?
- 28. 최종 사용자에게 최신 버전에 대한 알림
- 29. 텍스트가 변경 될 때 UIBarButtonItem에주의를 끌 수있는 방법은 무엇입니까?
- 30. 게시물이 WordPress에 게시 될 때 사용자에게 전자 메일 보내기
당신은 그다지 애매하지 않았을 수 있습니다. – Artefacto
이것은 너무 애매합니다. "그의 사이트 해킹"? 방법? 어떤 종류의 취약점입니까? 이 방법으로 공개 될 수있는 취약점에 대한 몇 가지 예를 들려 줄 수 있습니까? – Hammerite
그냥 구글 'phpinfo 해킹'. 버전 정보 및 설치된 모듈은 해커가 구형 및 패치되지 않은 버전의 특정 취약점을 공격하는 데 사용할 수있는 정보를 구성합니다. – mcandre