If a phpinfo() dump is shown to an end user, what is the worst that a malicious user could do with that information? What fields are most unsecure? That is, if your phpinfo() was publicly displayed, after taking it down, where should you watch/focus for malicious exploits?
将phpinfo()暴露给最终用户会带来哪些安全问题?
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
6条回答 默认 最新
- doushi9474 2010-07-07 15:16关注
Knowing the structure of your filesystem might allow hackers to execute directory traversal attacks if your site is vulnerable to them.
I think exposing phpinfo() on its own isn't necessarily a risk, but in combination with another vulnerability could lead to your site becoming compromised.
Obviously, the less specific info hackers have about your system, the better. Disabling phpinfo() won't make your site secure, but will make it slightly more difficult for them.
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2020-10-27 08:00然而,由于`phpinfo()`函数会暴露大量敏感信息,如服务器环境、扩展设置等,这可能导致安全性问题,特别是在生产环境中。因此,为了加强网站的安全防护,有必要学会如何屏蔽这个函数。 屏蔽`phpinfo()`函数主要是...
- 2025-12-26 16:16来自日本的亮仔的博客 发现一段具有恶意功能的PHP代码,无需密码验证即可执行系统命令、文件操作和数据库管理。该木马支持提权、批量挂马、端口扫描等高危行为,严重威胁服务器安全,提醒开发者加强防护措施。
- 2025-07-22 23:25fire9的博客 本文深入探讨了PHP应用中的安全与加密关键概念与实践方法。涵盖了密码学安全的随机数生成、用户输入的过滤与验证、敏感凭证的管理策略、密码的哈希存储与验证机制,以及对称与非对称加密技术的应用。同时,文章总结...
- 2025-07-12 23:10qife122的博客 在漏洞赏金猎人的扫描过程中,发现网站存在PHP信息泄露页面。该页面暴露了服务器PHP环境的敏感配置细节,攻击者可利用这些信息实施针对性攻击。
- 2025-08-03 01:10网友阿贵的博客 本文通过分析BugKu PHP代码注入题目,揭示了eval函数直接执行用户输入的安全风险。题目源代码中,eval("var_dump($a);")直接执行用户可控变量$a,导致命令注入漏洞。攻击者可构造payload如/?hello=system...
- 2024-03-27 22:57小哈里的博客 我有一个问题,既然测试、运维、安全、运营、客户端都要会开发,同时还要会很多专业领域的知识,但是待遇和职业发展却都远远不如开发。那为什么不直接投业务开发呢(好吧可能是太卷了) 1、测试开发 1、网络 & 系统...
- 2023-09-07 17:13西杭的博客 No Honor Among Thieves: A Large-Scale Analysis of Malicious Web Shells Stony Brook University Ruhr-University Bochum Web shell作为恶意脚本,攻击者将其上传到被攻陷的Web服务器,以远程执行任意命令、维护...
- 2022-03-10 16:00入狱计划进度50%的博客 PHP代码执行(注入)(web方向)是指应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。代码执行类似于SQL注入漏洞。sqli是将sql语句注入到数据库中执行,而代码执行则是可以把代码注入
- 2025-02-09 22:35d1k3siy的博客 PHP 临时文件包含漏洞
- 2024-08-03 08:43程序猿全栈の董的博客 这些变量将所有的外部变量表示成内建环境变量,并且将错误信息表示成返回头。重点需要掌握的7大预定义变量变量名称变量用途说明$GLOBALS引用全局作用域中可用的全部变量$_SERVER服务器和执行环境信息$_GETHTTP GET ...
- 2024-05-05 00:15西杭的博客 S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月...
- 2025-05-26 10:44兢谨网安的博客 建议:企业客户上云前,需要对自身业务进行全方位资产盘点、立体化风险评估,并进行有效安全加固,排除因自身业务问题导致的源IP暴露可能。同时伴随着业务的增长,定期执行漏洞扫描、资产审查、代码审查。最终实现...
- 2019-09-18 00:57gegephp的博客 【一、在服务器端配置】 ...安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.i...
- 2021-10-20 17:55渗透测试老鸟-九青的博客 3.一个成熟并且相对安全的CMS,渗透时扫目录的意义? 4.常见的网站服务器容器。 5.mysql注入点,用工具对目标站直接写入一句话,需要哪些条件? 6.目前已知哪些版本的容器有解析漏洞,具体举例。 7.如何手工快速...
- 2022-05-17 16:46RainSerein的博客 传统的做法是,选择用浏览器作为客户 端,写下一大堆ASP页面,把应用程序的中间层暴露给最终用户。这样做的结果是开发难度大,程序很难维护。如果中间层组件换成WebService的话, 就可以从用户界面直接调用中间层...
- 2024-02-18 05:15新华的博客 文件中的设置对于优化性能和安全性至关重要。一个关键的步骤是创建一个测试PHP文件,如info.php,以确认集成成功,并提供PHP安装的详细概述。这个配置良好的 PHP 环境是通用的,支持本地开发、严格的测试和部署到...
- 2022-03-07 16:46IT老涵的博客 手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,
- 2025-09-01 11:34加菲猫860的博客 本文概述了Web应用系统中文件上传功能存在的安全漏洞及多种绕过验证的攻击方法。主要介绍了客户端校验、MIME类型验证、getimagesize()函数检测等常见安全防护手段的绕过技巧,包括修改文件后缀、伪造文件头、利用00...
- 2021-03-23 15:28乖巧是我姓名的博客 为了安全起见,最好还是将PHP版本隐藏,以避免一些因PHP版本漏洞而引起的攻击。1、隐藏PHP版本就是隐藏 “X-Powered-By: PHP/5.2.13” 这个信息。方法很简单:编辑php.ini配置文件,修改或加入: expose_php = Off ...
- 2022-10-02 23:03人机(未转人工)的博客 vulhub-php漏洞复现
- 没有解决我的问题, 去提问
