如果向最终用户显示phpinfo()转储,恶意用户可以对该信息执行的最差情况是什么?什么领域最不安全?也就是说,如果您的phpinfo()被公开显示,在关闭之后,您应该在哪里观看/关注恶意攻击?
答案 0 :(得分:46)
如果您的网站容易受到攻击,那么了解文件系统的结构可能会让黑客执行目录遍历攻击。
我认为单独暴露phpinfo()不一定是风险,但与其他漏洞结合可能会导致您的网站遭到入侵。
显然,黑客对您的系统的具体信息越少越好。禁用phpinfo()不会使您的网站安全,但会让它们变得更加困难。
答案 1 :(得分:16)
除了显而易见的是能够看到register_globals是否为On,以及文件可能位于include_path中的位置,所有$_SERVER($_SERVER["DOCUMENT_ROOT"]都可以提供定义的线索相对路径名为/etc/passwd)和$_ENV信息(人们在$_ENV中存储的内容非常惊人,例如加密密钥)
答案 2 :(得分:9)
最大的问题是许多版本通过打印URL的内容和用于访问它的其他数据来简化XSS攻击。
答案 3 :(得分:6)
配置良好,最新的系统可以在没有风险的情况下公开phpinfo()。
尽管如此,有可能掌握如此详细的信息 - 尤其是模块版本,这可能会使新发现的漏洞出现时更容易破解生活 - 我认为这是一种很好的做法不离开他们。特别是在共享主机上,您对日常服务器管理没有任何影响。
答案 4 :(得分:-5)
黑客可以使用此信息查找漏洞并破解您的网站。
答案 5 :(得分:-7)
老实说,并不多。就个人而言,我经常离开phpinfo()页面。
如果您有一些严重的错误配置(例如PHP以root用户身份运行),或者您正在使用某些扩展或PHP本身的旧版和易受攻击版本,则此信息将更加暴露。另一方面,你也不会因不暴露phpinfo()而受到保护;您应该考虑让您的服务器保持最新并正确配置。