PHP easter eggs

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votes cast)
FavoriteLoadingΠροσθήκη στα Αγαπημένα μου
11/02/2013 από
adavalas

Ας συζητήσουμε για κάποιον απο τους κινδύνους που εγκυμονεί η χρήση της php σε θέματα ασφαλείας και πως μπορείτε απλά και γρήγορα να προστατευτείτε.

Γνωρίζετε τα php easter eggs; Τα PHP easter eggs είναι query strings τα οποία έχουν προστεθεί στο τέλος ενός PHP site. Αν δεν είστε εξοικειωμένος με αυτά τότε υπάρχει πάντα η πιθανότητα το php site σας να αποκαλύπτει πληροφορίες που να μπορούν να βοηθήσουν ένα αποφασισμένο hacker να παραβιάσει τον ιστοτόπο σας

Για να διαπιστώσετε αν υπάρχουν easter eggs , πηγαίνετε σε οποιαδήποτε PHP site και προσθέστε αυτό στο τέλος του url σας:

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Βλέπετε την PHP credits page; Είναι μια σελίδα με πληροφορίες για την έκδοση της php που τρέχει στον server σας και κάποιες άλλες παραπλήσιες πληροφορίες. Αυτές τις πληροφορίες θα μπορούσατε να τις βρείτε με την χρήση της εντολής phpinfo — που δίνει στοιχεία για την σύνθεση της php στον server σας άρα αποτελεί και ένα πρακτικό οδηγό σε κάθε επίδοξο hacker.

Αυτή η σελίδα δεν περιέχει κάτι επικίνδυνο. Απλά ενημερώνει κάποιον όπως προαναφέραμε για την έκδοση της php . Τότε θα αναρωτηθείτε που κρύβεται η επικινδυνότητα σε αυτά τα στοιχεία;

Ένας hacker βλέποντας την σελίδα αυτή και τις πληροφορίες που αυτή παρέχει για την έκδοση της php που χρησιμοποιείται π.χ. βλέποντας μια πληροφορία όπως την ακόλουθη

X-Powered-By: PHP/5.3.13

και γνωρίζοντας την έκδοση php που χρησιμοποιείται θα ήξερε αμέσως ποιά γνωστά θέματα ασφαλείας υπάρχουν στην έκδοση της php σας και να επικεντρώσει τις προσπάθειες του εκεί. Τις αυτές χρήσιμες για τους σκοπούς του πληροφορίες μπορεί να εκμαιεύσει και για τον apache web server και την έκδοση του που ενδεχομένως χρησιμοποιείται. .

Για αυτό καλό θα ήταν να ακολουθήσετε τις ακόλουθες προφυλάξεις ασφαλείας.

1

expose_php = off

ορίστε το στο php.ini αρχείο για να απενεργοποιήσετε αυτή την αναφορά.

Αν όμως χρησιμοποιείται ένα shared server και ως εκ τούτου δεν έχετε πρόσβαση στο php.ini, μπορείτε απλά να απαγορεύσετε την πρόσβαση προσθέτοντας την ακόλουθη γραμμή κώδικα στο .htaccess file:

1
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC] RewriteRule .* – [F]

Φυσικά να έχετε υπόψη σας ότι η αλλαγή αυτή θα επηρεάσει σε ένα shared server μόνο το συγκεκριμένο web site που θα κάνετε την αλλαγή.Για τυχόν άλλα web sites στον ίδιο server ή θα επαναλάβετε την διαδικασία ή απλά θα μιλήσετε με τον hosting provider σας. Φυσικά μπορείτε να αποταθείτε και στην web design εταιρεία που ανέλαβε τον σχεδιασμό της ιστοσελίδας σας για να προσθέσει αυτήν την γραμμή κώδικα με την προυπόθεση φυσικά να έχει ακόμη στην διάθεση του τους κωδικούς πρόσβασης








Hide ↑

Aσφάλεια στο opencart

04 September 2014

Με το θέμα της διαδικτυακής ασφάλειας να γίνεται ένας ολοένα και μεγαλύτερης σημασίας ζήτημα κατά την

Read more...

Μαθήματα opencart - Αλλαγή του navigation bar

02 September 2014

To OpenCart αποτελεί μια από τις πιο διάσημες πλατφόρμες για την κατασκευή[…]

Read more...

WordFence. Ασφάλεια στο wordpress

01 September 2014

Το WordFence είναι ένα ιδιαίτερα δημοφιλές WordPress plugin που χειρίζεται πολλούς διαφορετικούς και κρίσιμους τομείς ασφαλείας τόσο[…]

Read more...






Σχόλια

Δεν υπάρχουν σχόλια ακόμα.

Αφήστε ένα σχόλιο

 






RSS για τα σχόλια σε αυτό το άρθρο.  |  TrackBack URL



 
 
 

Eταιρείες παροχής υπηρεσιών διαδικτύου




 

Το Όραμά Μας

3d2 3d2

Η νέα εποχή ξεκινάει…

Είστε έτοιμοι;

Παρά τις όποιες δυσκολίες συναντήσαμε, τελικά μετά από 1 χρόνο περίπου, καταφέραμε να συγκεντρώσουμε τις δυνάμεις μας και να βάλουμε τις σκέψεις μας στο σωστό μονοπάτι.

Ξεκινάμε μια νέα εποχή για τα Ελληνικά δεδομένα. Κοιτάμε μπροστά και οραματίζομαστε το μέλλον με αισιοδοξία σε μία πολύ δύσκολη εποχή!

Αν είστε digital artist (web designer. web developer, programmer, 3d animator, graphic designer κτλ)  δώστε λίγα λεπτά από τον χρόνο σας να διαβάσετε το παρακάτω άρθρο. Σίγουρα σας ενδιαφέρει

 
web design forum

  • Προσεγγίστε νέους αναγνώστες και φίλους
  • Αποκτήστε το δικαίωμα να προωθήστε την σελίδα σας μέσω διαφημιστικών banner στο web design forum
  • Αποκτήστε συνδέσμους και backlinks δωρεάν
  • Αυτόματη προωθηση του άρθρου σας, σε διάφορες ιστοσελίδες κοινωνικής δικτύωσης.