拥有公共 phpinfo() 页面的安全风险?

拥有公共 phpinfo() 页面的安全风险?

我有一个可公开访问的页面,上面只有

<?php phpinfo(); >

在测试阶段,我将其用于调试目的,但在实时站点上保持其可访问性有什么坏处吗?

答案1

这完全取决于您对 PHP 安装的信心程度。如果您认为它非常牢固,即使攻击者知道您 PHP 安装的所有信息,您也可以保留它。

但说真的,你为什么要在生产系统中保留这个漏洞呢?你的 PHP 版本中可能存在你不知道的漏洞 - 人们现在或将来可能会扫描你的 PHP 版本或你启用的特定选项,因为他们知道如何执行这些漏洞。因此,通过公开保留这个漏洞,你将自己添加到了他们的攻击列表中。

如果您想保留它,可以将其放在受密码保护的目录中,或者在需要时打开它。考虑到这些选项的成本很低,我不会冒险将其公开。

相关内容