Pregunta ¿Riesgos de seguridad de tener la página pública de phpinfo ()?


Tengo una página de acceso público que solo tiene

<?php phpinfo(); >

Lo uso para propósitos de depuración mientras estamos en la versión beta, pero ¿hay algún daño en dejarlo accesible cuando es un sitio activo?


9
2017-10-25 10:01


origen




Respuestas:


Dependería completamente de la confianza que tenga sobre su instalación de PHP. Si crees que es sólido, incluso si un atacante sabe todo acerca de tu instalación de PHP, entonces podrías dejarlo en su lugar.

Pero realmente, ¿por qué dejarías esto en su lugar en un sistema de producción? Es posible que haya vulnerabilidades de las que no tenga conocimiento en su versión de PHP: la gente puede ahora o en el futuro buscar su versión de PHP, o opciones particulares que haya habilitado, porque saben cómo llevar a cabo estas vulnerabilidades. Así que al mantener esto en público, te sumaste a su lista de resultados.

Si desea mantenerlo, puede ponerlo en un directorio protegido por contraseña, o simplemente activarlo cuando lo necesite. Dado el pequeño costo de estas opciones, no correría el riesgo de mantenerlo público.


11
2017-10-25 10:08



Envolver la llamada a la función en un condicional generalmente hace el truco, es decir, <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?> (dónde 1.2.3.4 es su dirección IP) - danlefree
Gracias @dunxd - y gracias @danlefree por la sugerencia ... ¡hay tantos sitios que aún exponen sus phpinfos! - siliconpi
También hay muchos sitios que exponen phpmyadmin, no sigas los ejemplos de baja seguridad de otras personas. Es posible que no valoren la información o la integridad de su servidor tanto como usted valora la suya. - dunxd
Si bien la solución de @dunxd es completa y perfecta, realmente me gusta la solución de @ danlefree para el problema. No estoy seguro de por qué nunca pensé en esto antes y usaré este modelo en el futuro. Para permanecer en el tema, también quería agregar que yo también opino que exponer PHP públicamente en una phpinfo() La función no es una idea sabia. - justinhartman