nicht angemeldet
phpinfo ()- Kann es eine Sicherheitslücke darstellen?
Hallo,
wenn sich ein User phpinfo() ausgeben lassen kann, würde das unter Umständen eine Sicherheitlücke darstellen?
Danke,
Hans
-
Hallo!
wenn sich ein User phpinfo() ausgeben lassen kann, würde das unter Umständen eine Sicherheitlücke darstellen?
Grundsätzlich solltest du das vermeiden, da es einem Angreifer möglicherweise wichtige Informationen über dein System preisgibt, die er nutzen kann, um weitere Attacken zu planen.
MfG
-
Hiho,
Grundsätzlich solltest du das vermeiden, da es einem Angreifer möglicherweise wichtige Informationen über dein System preisgibt, die er nutzen kann, um weitere Attacken zu planen.
Die meisten wichtigen Informationen (z.b. über den verwendeten Server mit Version, das OS usw) lassen sich aber weit einfacher als über PHP Info ermitteln... Lediglich sowas wie installierte Erweiterungen gibt phpinfo() zusätzlich an, das könnte ausgenutzt werden...
Marc
-
-
Halihallo Hans
wenn sich ein User phpinfo() ausgeben lassen kann, würde das unter Umständen eine Sicherheitlücke darstellen?
Puh, so pauschal wie du fragst lässt nur eine pauschale Antwort zu:
Wissen ist Macht, Macht lässt sich missbrauchen, du gibst Usern (was immer das heissen
mag) Wissen. Transitiviere selbst...Was sprichst du an? - In welchem Kontext verstehst du die Frage? - Was sind "User"?
Viele Grüsse
Philipp
--
RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.-
Hi,
mit User meinte ich einfach Besucher der Site. Ich habe eine DAtei auf dem Server, die phpinfo() ausgibt (falls ich mal Infos brauche), aber es könnte ja sein, dass sich ein Besucher darauf verirrt.
Mfg Hans
-
Halihallo Hans
mit User meinte ich einfach Besucher der Site. Ich habe eine DAtei auf dem Server, die phpinfo() ausgibt (falls ich mal Infos brauche), aber es könnte ja sein, dass sich ein Besucher darauf verirrt.
Nun, was soll ich hier antworten... *grübel* :-)
Ich glaube, dass andere Sicherheitslücken (vorwiegend in deinen eigenen Scripts)
wesentlich übler sind und dass diese zuerst verbessert werden sollten. Dass sich einer
a) auf die genannte "Datei" verirrt und b) damit was böses anstellen kann ist
c) sehr unwahrscheinlich (aber sehr wohl möglich).Tipp: lege die Datei hinter eine Authentifizierung, dann wird die Wahrscheinlichkeit
nochmals etwas geringer (aber immer noch möglich).Nun, eine _direkte_ Gefahr geht von dem Bereitstellen von phpinfo IMHO nicht aus.
Viele Grüsse
Philipp
--
RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.
-
-