php隐蔽后缀(.PHP)的办法历程
潜藏PHP
还可以把你在使用PHP 来驱动网站的这一事实潜藏起来,或者至少不那么明显。使用expose_php指令就能幸免将php版本信息追加到Web 效劳器签名的最后。不同意拜访phpinfo()可以防止攻击者得到你的软件版本号和其他重要信息。通过改动文档扩展名,使得这些页面映射到PHP 足本不容易被看出来。
1.expose_php=On|Off
作用域:PHP_INI_SYSTEM;默许值:On。
启用时,PHP指令expose_php将细节追加到效劳器签名后面。例如,假如启用了ServerSignature,ServerTokens设定为Full,并且启用了此指令,效劳器签名档有关部分如下:
Apache/2.0.44(Unix) DAV/2 PHP/5.0.0b3-dev Server at www.example.com Port 80
假如expose_php被禁用,则效劳器签名如下所示:
Apache/2.0.44(Unix) DAV/2 Server at www.example.com Port 80
2.删除phpinfo() 调取的所有实例
phpinfo()函数供给了一个很棒的工具,可用于在指定效劳器上查看PHP 配置的总结。但是,由于在效劳器上未加庇护,这些文件关于攻击者来说实可谓是一个金矿。例如,这个函数能生成操纵系统、PHP 和Web 效劳器版本、配置标记的有关信息,还能生成关于所有可用扩展及其版本的具体报告。假如同意攻击者拜访此信息,就更有大概发明并利用潜在的攻击破绽。
遗憾的是,好像很多开发人员没成心识到或不关怀这些破绽,由于只要在搜索引擎中键入phpinfo.php,将得到大约336 000 个结果,其中许多链接直接指向施行phpinfo()命令的文件,因此供给了关于效劳器的大量信息。关于早期脆弱的PHP 版本。只需快速地修改搜索前提,参加其他关键词,就能得到本来结果的一个子集,而这将成为攻击的主要对象,由于他们使用了已知不平安的PHP 、Apache 、IIS版本和各种所支撑的扩展。
同意其别人查看phpinfo()的结果,这本色上相当于向公众供给一个道路图,其中列出了你的效劳器的很多技术特性和缺陷。不要仅仅由于懒惰未能删除或庇护这个文件而成为攻击的牺牲品。
3.修改文档扩展名
启用PHP的文档一样通过其奇特的扩展名就能识别,最常见的包罗.php、php3 和.phtml 。你知道这可以很容易地改为你但愿的其他扩展名吗?乃至可以改成是.html、.asp或者.jsp?,为此只要在httpd.conf 文件中修改如下一行:
Addtype application/x-httpd-php .php
增加所但愿的任何扩展名,例如:
AddType application/x-httpd-php .asp
当然,要确保这不会致使与其他安置的效劳器技术相冲突。
更多PHP相关技术文章,请拜访PHP教程栏目停止学习!
以上就是php潜藏后缀(.PHP)的办法历程的具体内容,更多请关注百分百源码网其它相关文章!