PHP彩蛋信息介绍和阻止泄漏的方法(隐藏功能)


Posted in PHP onAugust 06, 2014

Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意,彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞,可能导致未经授权的信息披露,如果你正在运行PHP,就有可能会被人发现PHP版本和其他敏感信息。我觉得有必要解决这个彩蛋问题来确保你网站的安全性。

PHP彩蛋是如何运作的

只要运行PHP的服务器上,访问任何网页都可以在域名后添加以下字符串来查看信息:

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表)

?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO)

?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)

?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)

当然,如果漏洞存在才可以通过以上来查看到信息,现在一般网站都已经屏蔽了。但如果存在说明其expose_php是启用状态,PHP将生成页面发送出PHP版本信息,这样一些”坏人”就知道了你的版本号来利用已知的版本漏洞来进行攻击。

如何阻止彩蛋

一般情况下如果你的服务器支持编辑php.ini文件,我们可以把php.ini里的expose_php设为Off就可以屏蔽了。如果你不能操作php.ini文件,也可以通过设置.htaccess来进行屏蔽。

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]

RewriteRule .* - [F]

通过以上两种方法,我们可以屏蔽一些PHP信息,一些服务器默认设置expose_php是开启的,所以来看我这篇文章的朋友们最好是把它关闭了。

Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.

示例:

http://wowo.haotui.com/space.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://en.wikipedia.org/w/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
http://www.zend.com/en/index.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
PHP 相关文章推荐
通过对php一些服务器端特性的配置加强php的安全
Oct 09 PHP
PHP调用三种数据库的方法(1)
Oct 09 PHP
用PHP实现Ftp用户的在线管理的代码
Mar 06 PHP
php 执行系统命令的方法
Jul 07 PHP
PHP file_get_contents 函数超时的几种解决方法
Jul 30 PHP
php数组函数序列之array_pop() - 删除数组中的最后一个元素
Nov 07 PHP
推荐一款MAC OS X 下php集成开发环境mamp
Nov 08 PHP
PHP操作文件的一些基本函数使用示例
Nov 18 PHP
PHP时间和日期函数详解
May 08 PHP
求帮忙修改个php curl模拟post请求内容后并下载文件的解决思路
Sep 20 PHP
ThinkPHP中order()使用方法详解
Apr 19 PHP
php面试实现反射注入的详细方法
Sep 30 PHP
PHP编程中的常见漏洞和代码实例
Aug 06 #PHP
Discuz7.2版的faq.php SQL注入漏洞分析
Aug 06 #PHP
PHP中的reflection反射机制测试例子
Aug 05 #PHP
PHP的反射类ReflectionClass、ReflectionMethod使用实例
Aug 05 #PHP
实例介绍PHP的Reflection反射机制
Aug 05 #PHP
PHP中读取文件的8种方法和代码实例
Aug 05 #PHP
PHP中Fatal error session_start()错误解决步骤
Aug 05 #PHP
You might like
PHP学习笔记 (1) 环境配置与代码调试
2011/06/19 PHP
PHP查找数值数组中不重复最大和最小的10个数的方法
2015/04/20 PHP
非常有用的9个PHP代码片段
2016/04/06 PHP
round robin权重轮循算法php实现代码
2016/05/28 PHP
laravel 使用auth编写登录的方法
2019/09/30 PHP
JavaScript 继承的实现
2009/07/09 Javascript
禁用Tab键JS代码兼容Firefox和IE
2014/04/18 Javascript
JavaScript面向对象编写购物车功能
2016/08/19 Javascript
微信小程序 后台登录(非微信账号)实例详解
2017/03/31 Javascript
ES6中新增的Object.assign()方法详解
2017/09/22 Javascript
微信小程序用户授权、位置授权及获取微信绑定手机号
2019/07/18 Javascript
原生js实现随机点餐效果
2019/12/10 Javascript
JavaScript利用键盘码控制div移动
2020/03/19 Javascript
[02:56]《DAC最前线》之国外战队抵达上海备战亚洲邀请赛
2015/01/28 DOTA
Python实现拼接多张图片的方法
2014/12/01 Python
Python通过递归遍历出集合中所有元素的方法
2015/02/25 Python
Python生成不重复随机值的方法
2015/05/11 Python
Python实现按特定格式对文件进行读写的方法示例
2017/11/30 Python
python修改list中所有元素类型的三种方法
2018/04/09 Python
Python collections模块使用方法详解
2019/08/28 Python
基于python3抓取pinpoint应用信息入库
2020/01/08 Python
pytorch实现建立自己的数据集(以mnist为例)
2020/01/18 Python
pandas.DataFrame.drop_duplicates 用法介绍
2020/07/06 Python
Python基于staticmethod装饰器标示静态方法
2020/10/17 Python
python3.8.3安装教程及环境配置的详细教程(64-bit)
2020/11/28 Python
芬兰汽车配件商店:Autonvaraosat24
2017/01/30 全球购物
欧铁通票官方在线销售网站:Eurail.com
2017/10/14 全球购物
Booking.com英国官网:全球酒店在线预订网站
2018/04/21 全球购物
英国首屈一指的票务公司:See Tickets
2019/05/11 全球购物
求职简历推荐信范文
2013/12/02 职场文书
企业厂长岗位职责
2013/12/17 职场文书
工程招投标邀请书
2014/01/26 职场文书
成本会计岗位职责
2015/02/03 职场文书
英语教师个人工作总结
2015/02/09 职场文书
幼儿园六一儿童节主持词
2015/06/30 职场文书
2016年优秀班主任先进事迹材料
2016/02/26 职场文书