Php

phpinfo中的哪些資訊是敏感資訊?

  • August 25, 2021

我被告知 phpinfo 包含敏感數據,因此您應該在生產環境中將其刪除。但是今天下午我仔細看了看,並沒有發現任何有趣的東西。所以這是我的問題。到底什麼是敏感的?攻擊者將如何使用這些資訊?或者她/他會從配置頁面知道什麼?

一個例子。

如果您的phpinfo頁面顯示您正在使用帶有某些 PHP 模組的 Windows Server 2008 和 PHP 5.6,那麼攻擊者可以輕鬆控制您的伺服器,因為,

  • Windows server 2008 已結束生命週期,微軟將不再修復安全問題。
  • PHP 5.6 生命週期結束,安全問題不再修復。
  • 某些模組有自己的漏洞,這為攻擊者打開了大門。

即使您使用最新的 Windows 和 PHP 版本,也存在零日漏洞。

您向外界透露的資訊越少,攻擊者就越難以利用。

您最好聘請安全顧問並了解更多資訊。

引用自:https://serverfault.com/questions/1075605