PHP彩蛋信息介绍和阻止泄漏的方法(隐藏功能)

2015-01-24信息快讯网

这篇文章主要介绍了PHP彩蛋信息介绍和阻止泄漏的方法,PHP彩蛋是指一些隐藏功能,如果不注意这个问题就会被黑客利用,需要的朋友可以参考下

Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意,彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞,可能导致未经授权的信息披露,如果你正在运行PHP,就有可能会被人发现PHP版本和其他敏感信息。我觉得有必要解决这个彩蛋问题来确保你网站的安全性。

PHP彩蛋是如何运作的

只要运行PHP的服务器上,访问任何网页都可以在域名后添加以下字符串来查看信息:

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表)
?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO)
?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)
?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)

当然,如果漏洞存在才可以通过以上来查看到信息,现在一般网站都已经屏蔽了。但如果存在说明其expose_php是启用状态,PHP将生成页面发送出PHP版本信息,这样一些”坏人”就知道了你的版本号来利用已知的版本漏洞来进行攻击。

如何阻止彩蛋

一般情况下如果你的服务器支持编辑php.ini文件,我们可以把php.ini里的expose_php设为Off就可以屏蔽了。如果你不能操作php.ini文件,也可以通过设置.htaccess来进行屏蔽。

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]

通过以上两种方法,我们可以屏蔽一些PHP信息,一些服务器默认设置expose_php是开启的,所以来看我这篇文章的朋友们最好是把它关闭了。

Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.

示例:

http://wowo.haotui.com/space.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://en.wikipedia.org/w/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
http://www.zend.com/en/index.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

PHP采集静态页面并把页面css,img,js保存的方法
php获取QQ头像并显示的方法
php实现基于微信公众平台开发SDK(demo)扩展的方法
php微信公众开发之获取周边酒店信息的方法
php天翼开放平台短信发送接口实现方法
PHP获取服务器端信息的方法
php 伪造ip以及url来路信息方法汇总
PHP图像处理之imagecreate、imagedestroy函数介绍
php创建和删除目录函数介绍和递归删除目录函数分享
PHP文件锁函数flock()详细介绍
使用PHP把HTML生成PDF文件的几个开源项目介绍
PHP中的Streams详细介绍
微信公众平台网页授权获取用户基本信息中授权回调域名设置的变动
PHP获取mysql数据表的字段名称和详细信息的方法
PHP生成数组再传给js的方法
PHP编程中的常见漏洞和代码实例
Discuz7.2版的faq.php SQL注入漏洞分析
PHP中的reflection反射机制测试例子
PHP的反射类ReflectionClass、ReflectionMethod使用实例
实例介绍PHP的Reflection反射机制
PHP常用数组函数介绍
PHP获取短链接跳转后的真实地址和响应头信息的方法
destoon实现资讯信息前面调用它所属分类的方法
PHP ignore_user_abort函数详细介绍和使用实例
PHP实现显示照片exif信息的方法
Thinkphp中import的几个用法详细介绍
PHP提交表单失败后如何保留已经填写的信息
PHP采集类snoopy详细介绍(snoopy使用教程)
PHP.ini中配置屏蔽错误信息显示和保存错误日志的例子
如何使用“PHP” 彩蛋进行敏感信息获取
©2014-2024 dbsqp.com