If a phpinfo() dump is shown to an end user, what is the worst that a malicious user could do with that information? What fields are most unsecure? That is, if your phpinfo() was publicly displayed, after taking it down, where should you watch/focus for malicious exploits?
将phpinfo()暴露给最终用户会带来哪些安全问题?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
6条回答 默认 最新
- doushi9474 2010-07-07 15:16关注
Knowing the structure of your filesystem might allow hackers to execute directory traversal attacks if your site is vulnerable to them.
I think exposing phpinfo() on its own isn't necessarily a risk, but in combination with another vulnerability could lead to your site becoming compromised.
Obviously, the less specific info hackers have about your system, the better. Disabling phpinfo() won't make your site secure, but will make it slightly more difficult for them.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2010-07-07 15:01回答 6 已采纳 Knowing the structure of your filesystem might allow hackers to execute directory traversal attack
- 2016-03-15 09:15回答 3 已采纳 phpinfo() is a language function that will display its output regardless of whether the script tha
- 2018-05-07 17:39回答 1 已采纳 Try something like: #!/bin/bash yum update –y yum install -y httpd24 php70 mysql56-server php70-m
- 2020-10-27 08:00然而,由于`phpinfo()`函数会暴露大量敏感信息,如服务器环境、扩展设置等,这可能导致安全性问题,特别是在生产环境中。因此,为了加强网站的安全防护,有必要学会如何屏蔽这个函数。 屏蔽`phpinfo()`函数主要是...
- 2013-11-08 03:01回答 2 已采纳 I had to add the .php extension in the IIS Web Sites Properties as indicated here http://www.iis.n
- 2023-03-07 20:59回答 2 已采纳 先匹配整个串,执行一次替换,然后.*又可以匹配空字符串,又替换了一次,所以就是okok。下面是js的替换过程 第二个问题可以参考下面的文章,说得比较详细https://blog.csdn.net/gi
- 2018-08-12 21:45回答 1 已采纳 I just deleted php72-php-fpm and installed again. yum install php72-php-fpm.x86_64 php72-php-deve
- 2022-03-10 16:00入狱计划进度50%的博客 PHP代码执行(注入)(web方向)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。sqli是将sql语句注入到数据库中执行,而代码执行则是可以把代码注入
- 2016-06-16 13:54回答 2 已采纳 The following should work (tested in 5.5.9): // gmp_init will interpret argument as hexadecimal w
- 2019-05-03 23:23回答 1 已采纳 Following Richard Smith's question, nginx -T showed that I had another conf active that was interf
- 2017-03-24 10:21回答 1 已采纳 Exclude existing files/directories from your rewrite rule to avoid looping the rules: RewriteEngi
- 2024-03-27 22:57小哈里的博客 我有一个问题,既然测试、运维、安全、运营、客户端都要会开发,同时还要会很多专业领域的知识,但是待遇和职业发展却都远远不如开发。那为什么不直接投业务开发呢(好吧可能是太卷了) 1、测试开发 1、网络 & 系统...
- 2018-12-12 03:59回答 1 已采纳 MSSQL extension for PHP (mssql_ functions) and PHP Driver for SQL Server (sqlsrv_ functions) are t
- 2024-08-03 08:43天若有情673的博客 这些变量将所有的外部变量表示成内建环境变量,并且将错误信息表示成返回头。重点需要掌握的7大预定义变量变量名称变量用途说明$GLOBALS引用全局作用域中可用的全部变量$_SERVER服务器和执行环境信息$_GETHTTP GET ...
- 2024-05-05 00:15西杭的博客 S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月...
- 2023-09-07 17:13西杭的博客 No Honor Among Thieves: A Large-Scale Analysis of Malicious Web Shells Stony Brook University Ruhr-University Bochum Web shell作为恶意脚本,攻击者将其上传到被攻陷的Web服务器,以远程执行任意命令、维护...
- 2021-10-20 17:55渗透测试老鸟-九青的博客 3.一个成熟并且相对安全的CMS,渗透时扫目录的意义? 4.常见的网站服务器容器。 5.mysql注入点,用工具对目标站直接写入一句话,需要哪些条件? 6.目前已知哪些版本的容器有解析漏洞,具体举例。 7.如何手工快速...
- 2022-05-17 16:46RainSerein的博客 传统的做法是,选择用浏览器作为客户 端,写下一大堆ASP页面,把应用程序的中间层暴露给最终用户。这样做的结果是开发难度大,程序很难维护。如果中间层组件换成WebService的话, 就可以从用户界面直接调用中间层...
- 2019-09-18 00:57gegephp的博客 【一、在服务器端配置】 ...安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.i...
- 2024-02-18 05:15新华的博客 文件中的设置对于优化性能和安全性至关重要。一个关键的步骤是创建一个测试PHP文件,如info.php,以确认集成成功,并提供PHP安装的详细概述。这个配置良好的 PHP 环境是通用的,支持本地开发、严格的测试和部署到...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 我想用51单片机和数码管做一个从0开始的计数表 我写了一串代码 但是放到单片机里面数码管只闪烁一下然后熄灭
- ¥20 系统工程中,状态空间模型中状态方程的应用。请猛男来完整讲一下下面所有问题
- ¥15 我想在WPF的Model Code中获取ViewModel Code中的一个参数
- ¥15 arcgis处理土地利用道路 建筑 林地分类
- ¥20 使用visual studio 工具用C++语音,调用openslsx库读取excel文件的sheet问题
- ¥100 寻会做云闪付tn转h5支付链接的技术
- ¥15 DockerSwarm跨节点无法访问问题
- ¥15 使用dify通过OpenAI 的API keys添加OpenAI模型时报了“Connection Error”错误
- ¥40 想找个软件,但我不知道怎么找到它,我甚至不知道有没有
- ¥15 怎么把60秒的视频时长改成显示0秒?且视频内容没有任何变化的正常播放?目的是为了解决一些平台对视频时长的要求,最好有自动处理的工具!