浸染域:PHP_INI_SYSTEM;默认值:On。
启用时,PHP指令expose_php将细节追加到做事器署名后面。例如,如果启用了ServerSignature,ServerTokens设置为Full,并且启用了此指令,做事器署名档有关部分如下:
Apache/2.0.44(Unix) DAV/2 PHP/5.0.0b3-dev Server at www.example.com Port 80
如果expose_php被禁用,则做事器署名如下所示:
Apache/2.0.44(Unix) DAV/2 Server at www.example.com Port 80
2.删除phpinfo() 调用的所有实例
phpinfo()函数供应了一个很棒的工具,可用于在指定做事器上查看PHP 配置的总结。但是,由于在做事器上未加保护,这些文件对付攻击者来说实可谓是一个金矿。例如,这个函数能天生操作系统、PHP 和Web 做事器版本、配置标志的有关信息,还能天生关于所有可用扩展及其版本的详细报告。如果许可攻击者访问此信息,就更有可能创造并利用潜在的攻击漏洞。
遗憾的是,彷佛许多开拓职员没故意识到或不关心这些漏洞,由于只要在搜索引擎中键入phpinfo.php,将得到大约336 000 个结果,个中很多链接直接指向实行phpinfo()命令的文件,因而供应了关于做事器的大量信息。对付早期薄弱的PHP 版本。只需快速地修正搜索条件,加入其他关键词,就能得到原来结果的一个子集,而这将成为攻击的紧张工具,由于他们利用了已知不屈安的PHP 、Apache 、IIS版本和各种所支持的扩展。
许可其他人查看phpinfo()的结果,这本色上相称于向"大众年夜众供应一个路线图,个中列出了你的做事器的许多技能特性和毛病。不要仅仅由于
3.修正文档扩展名
启用PHP的文档一样平常通过其独特的扩展名就能识别,最常见的包括.php、php3 和.phtml 。你知道这可以很随意马虎地改为你希望的其他扩展名吗?乃至可以改成是.html、.asp或者.jsp?,为此只要在httpd.conf 文件中修正如下一行:
Addtype application/x-httpd-php .php
添加所希望的任何扩展名,例如:
AddType application/x-httpd-php .asp
