บรรจวบ เข้าสู่ระบบ
Score:0
Sam avatar Server

ข้อมูลใดใน phpinfo ที่ละเอียดอ่อน?

ธง in
Sam

ฉันได้รับแจ้งว่า phpinfo มีข้อมูลที่สำคัญ ดังนั้นคุณควรลบมันในสภาพแวดล้อมการผลิต แต่บ่ายวันนี้ลองสังเกตดูดีๆก็ไม่พบอะไรน่าสนใจ นี่คือคำถามของฉัน อะไรในโลกที่อ่อนไหว? ผู้โจมตีจะใช้ข้อมูลดังกล่าวอย่างไร หรือเขาจะรู้อะไรจากหน้าการกำหนดค่า

319
3 + 0
Score:2
avatar Server
ธง ar
bob

โดยทั่วไป ข้อกังวลด้านความปลอดภัยคือยิ่งข้อมูลโครงสร้างพื้นฐานและแอปพลิเคชันของคุณ "แจก" (โดยการเปิดเผยชื่อผลิตภัณฑ์ เวอร์ชัน และความสามารถ) มากเท่าไร ฝ่ายตรงข้ามก็จะทำงานน้อยลงเพื่อรวบรวมข้อมูล และยิ่งง่ายสำหรับพวกเขาในการกำหนดเป้าหมายที่เฉพาะเจาะจงอย่างรวดเร็ว (รู้จัก) ช่องโหว่

ซึ่งทำให้แนวทางปฏิบัติที่ดีที่สุดในสภาพแวดล้อมการใช้งานจริงคือการระงับหมายเลขเวอร์ชัน ปิดใช้งานรหัส/ตัวเลือกการดีบัก (เช่น phpinfo()) ระงับข้อความแสดงข้อผิดพลาด และอื่นๆ...

0 + 0
Score:2
Lex Li avatar Server
ธง vn
Lex Li

ตัวอย่าง.

ถ้าคุณ phpinfo แสดงว่าคุณกำลังใช้ Windows Server 2008 และ PHP 5.6 กับโมดูล PHP บางตัว ผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์ของคุณได้อย่างง่ายดายเพราะ

  • Windows Server 2008 หมดอายุแล้ว และปัญหาด้านความปลอดภัยจะไม่ได้รับการแก้ไขโดย Microsoft อีกต่อไป
  • PHP 5.6 หมดอายุการใช้งานแล้ว และปัญหาด้านความปลอดภัยจะไม่ได้รับการแก้ไขอีกต่อไป
  • บางโมดูลมีช่องโหว่ของตัวเองซึ่งเปิดประตูสู่ผู้โจมตี

แม้ว่าคุณจะใช้ Windows และ PHP รุ่นล่าสุด ช่องโหว่ Zero day ก็ยังมีอยู่

ยิ่งคุณเปิดเผยข้อมูลสู่โลกภายนอกน้อยเท่าไหร่ ผู้โจมตีก็จะยิ่งโจมตีได้ยากขึ้นเท่านั้น

คุณควรจ้างที่ปรึกษาด้านความปลอดภัยและเรียนรู้เพิ่มเติม

0 + 1
Sam avatar
in flag
Sam
ใช่ และฉันอาจจะใส่สมองของฉันเข้าไปในไมโครเวฟนั่น ฮ่าๆ
0
ตอบกลับ
Score:1
avatar Server
ธง ar
Dan Miller

ข้อมูลทุกบิตที่รั่วไหลออกมาเกี่ยวกับเซิร์ฟเวอร์ของคุณอาจเป็นปัญหาได้ แม้แต่แบนเนอร์ apache การรั่วไหลหากคุณไม่ปิดการใช้งานใน httpd.conf อาจนำไปสู่การประนีประนอม ไปที่การหาประโยชน์จาก db.com และดูตัวอย่าง ช่องโหว่ทั้งหมดสำหรับ Apache โปรดทราบว่าส่วนใหญ่จะส่งผลต่อเวอร์ชันเฉพาะ ตอนนี้ด้วย phpinfo ที่เปิดเผยข้อมูลนั้นเป็นเรื่องง่ายสำหรับสคริปต์ตัวเล็กที่จะโจมตีระบบของคุณโดยอัตโนมัติ ซึ่งแม้ว่าจะมีการปะแก้ก็ยังสร้างปัญหาได้ อย่างน้อยก็การจราจรติดขัด แม้ว่าพวกเขาจะไม่มีเวอร์ชัน โดยทั่วไปแล้วพวกเขาจะไม่เรียกใช้อะไรเลย apache mods จำนวนมากมีปัญหาในอดีต - อีกสิ่งหนึ่งที่ phpinfo เปิดเผย การหาประโยชน์ในพื้นที่บางอย่างทำงานบนเคอร์เนลบางตัว - phpinfo อีกครั้ง...

นอกจากนี้ยังแสดงว่าคุณกำลังใช้ฐานข้อมูลใดอยู่ ดังนั้นผู้โจมตีจึงทราบได้ทันทีว่าควรใช้คำสั่งใดในการโจมตีด้วยการฉีด sql และบางเวอร์ชันก็เสี่ยงต่อการถูกโจมตีโดยเฉพาะ

คุณยังสามารถเดาได้จาก phpinfo เช่น ข้อมูลชื่อผู้ใช้ รูปแบบของชื่อผู้ใช้ โครงสร้างไดเร็กทอรี...การโจมตีบางอย่างที่คุณจำเป็นต้องรู้โครงสร้างไดเร็กทอรี เช่น การโจมตี PUT ซึ่งโดยปกติแล้วผู้โจมตีจะต้องคาดเดาอย่างมีการศึกษา แต่ phpinfo ทำให้ข้อมูลนั้นอยู่ที่นั่น

แม้แต่ข้อมูลเช่นผู้ดูแลระบบเซิร์ฟเวอร์ที่คุณสามารถ google และอาจพบปัญหาด้านความปลอดภัยใน StackExchange...

โดยพื้นฐานแล้ว phpinfo เป็นเมนูขนาดใหญ่สำหรับผู้โจมตีที่มีศักยภาพ ครอบคลุมที่ **** ขึ้น และในระหว่างนี้ ให้ซ่อนเวอร์ชันแบนเนอร์ของคุณ เว้นแต่ว่าคุณต้องการข้อมูลนั้นด้วยเหตุผลบางประการ

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา