공개 phpinfo () 페이지의 보안 위험?

공개적으로 액세스 할 수있는 페이지가 있습니다

<?php phpinfo(); >

베타 버전 인 경우 디버깅 목적으로 사용하지만 라이브 사이트에서 액세스 할 수있는 상태로두면 어떤 피해가 있습니까?

— 실리콘 피
소스

PHP 설치에 대한 자신감에 전적으로 달려 있습니다. 공격자가 PHP 설치에 대한 모든 것을 알고 있다고해도 견고하다고 생각되면 그대로 둘 수 있습니다.

그러나 실제로 왜 이것을 프로덕션 시스템에 그대로 두시겠습니까? PHP 버전에서 알지 못하는 익스플로잇이있을 수 있습니다. 사람들은 현재 또는 향후 PHP 버전 또는 사용자가 활성화 한 특정 옵션을 검색 할 수 있습니다. 이러한 익스플로잇을 수행하는 방법을 알고 있기 때문입니다. 그래서 이것을 공개적으로 유지함으로써, 당신은 그들의 명단에 자신을 추가했습니다.

유지하려면 비밀번호로 보호 된 디렉토리에 넣거나 필요할 때 켜십시오. 이러한 옵션의 적은 비용으로 인해 공개 옵션을 유지할 위험이 없습니다.

— dunxd
소스

조건부로 함수 호출을 래핑하는 것은 일반적으로 트릭을 수행합니다 <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>( 예 : 1.2.3.4IP 주소)

— danlefree

감사합니다 @ dunxd-팁 주셔서 감사합니다 @ danlefree ... 여전히 자신의 phpinfos를 노출 너무 많은 사이트가 있습니다!

— siliconpi

phpmyadmin도 노출시키는 사이트가 많이 있습니다. 다른 사람의 보안 수준이 낮은 예를 따르지 마십시오. 귀하의 가치만큼 서버의 데이터 나 무결성을 중요시하지 않을 수도 있습니다.

— dunxd

@dunxd의 솔루션은 철저하고 완벽하지만 @danlefree의 솔루션을 문제에 정말로 좋아합니다. 왜 내가 이것을 전에 생각하지 않았는지 잘 모르겠으며 앞으로이 모델을 사용할 것입니다. 주제를 유지하기 위해 phpinfo()함수에 PHP를 공개적으로 노출시키는 것이 현명한 아이디어가 아니라는 의견도 추가하고 싶었습니다 .

— justinhartman