PHP彩蛋信息介绍和阻止泄漏的方法(隐藏功能)


Posted in PHP onAugust 06, 2014

Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意,彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞,可能导致未经授权的信息披露,如果你正在运行PHP,就有可能会被人发现PHP版本和其他敏感信息。我觉得有必要解决这个彩蛋问题来确保你网站的安全性。

PHP彩蛋是如何运作的

只要运行PHP的服务器上,访问任何网页都可以在域名后添加以下字符串来查看信息:

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表)

?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO)

?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO)

?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)

当然,如果漏洞存在才可以通过以上来查看到信息,现在一般网站都已经屏蔽了。但如果存在说明其expose_php是启用状态,PHP将生成页面发送出PHP版本信息,这样一些”坏人”就知道了你的版本号来利用已知的版本漏洞来进行攻击。

如何阻止彩蛋

一般情况下如果你的服务器支持编辑php.ini文件,我们可以把php.ini里的expose_php设为Off就可以屏蔽了。如果你不能操作php.ini文件,也可以通过设置.htaccess来进行屏蔽。

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]

RewriteRule .* - [F]

通过以上两种方法,我们可以屏蔽一些PHP信息,一些服务器默认设置expose_php是开启的,所以来看我这篇文章的朋友们最好是把它关闭了。

Really appreciate it Jeff Starr‘s post expose_php, Easter Eggs, and .htaccess.

示例:

http://wowo.haotui.com/space.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://en.wikipedia.org/w/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
http://www.zend.com/en/index.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
PHP 相关文章推荐
用PHP和ACCESS写聊天室(四)
Oct 09 PHP
php中获取远程客户端的真实ip地址的方法
Aug 03 PHP
PHP curl实现抓取302跳转后页面的示例
Jul 04 PHP
本地计算机无法启动Apache故障处理
Aug 08 PHP
PHP分页类集锦
Nov 18 PHP
日常整理PHP中简单的图形处理(经典)
Oct 26 PHP
php mysqli查询语句返回值类型实例分析
Jun 29 PHP
PHP加密技术的简单实现
Sep 04 PHP
php+webSoket实现聊天室示例代码(附源码)
Feb 17 PHP
php进行md5加密简单实例方法
Sep 19 PHP
ThinkPHP5与单元测试PHPUnit使用详解
Feb 23 PHP
PHP pthreads v3下同步处理synchronized用法示例
Feb 21 PHP
PHP编程中的常见漏洞和代码实例
Aug 06 #PHP
Discuz7.2版的faq.php SQL注入漏洞分析
Aug 06 #PHP
PHP中的reflection反射机制测试例子
Aug 05 #PHP
PHP的反射类ReflectionClass、ReflectionMethod使用实例
Aug 05 #PHP
实例介绍PHP的Reflection反射机制
Aug 05 #PHP
PHP中读取文件的8种方法和代码实例
Aug 05 #PHP
PHP中Fatal error session_start()错误解决步骤
Aug 05 #PHP
You might like
40年前的这部特摄片恐龙特级克塞号80后的共同回忆
2020/03/08 日漫
超外差式晶体管收音机的组装与统调
2021/03/01 无线电
PHP学习之PHP运算符
2006/10/09 PHP
php中导出数据到excel时数字变为科学计数的解决方法
2013/02/03 PHP
Laravel下生成验证码的类
2017/11/15 PHP
两种方法实现文本框输入内容提示消失
2013/03/17 Javascript
js禁止document element对象选中文本实现代码
2013/03/21 Javascript
Javascript代码在页面加载时的执行顺序介绍
2013/05/03 Javascript
JavaScript字符串插入、删除、替换函数使用示例
2013/07/25 Javascript
js Math 对象的方法
2013/09/01 Javascript
js调试工具console.log()方法查看js代码的执行情况
2014/08/08 Javascript
JavaScript获取网页支持表单字符集的方法
2015/04/02 Javascript
js判断当前页面在移动设备还是在PC端中打开
2016/01/06 Javascript
jQuery基础_入门必看知识点
2016/07/04 Javascript
js鼠标单击和双击事件冲突问题的快速解决方法
2016/07/11 Javascript
基于vue中解决v-for使用报红并出现警告的问题
2018/03/03 Javascript
vue开发chrome插件,实现获取界面数据和保存到数据库功能
2020/12/01 Vue.js
Javascript实现单选框效果
2020/12/09 Javascript
[05:39]2014DOTA2国际邀请赛 DK晋级胜者组专访战队国士无双
2014/07/14 DOTA
python实现问号表达式(?)的方法
2013/11/27 Python
Python中super()函数简介及用法分享
2016/07/11 Python
python3利用tcp实现文件夹远程传输
2018/07/28 Python
在Python中调用Ping命令,批量IP的方法
2019/01/26 Python
python实现手机销售管理系统
2019/03/19 Python
Django中的AutoField字段使用
2020/05/18 Python
Python爬虫实例之2021猫眼票房字体加密反爬策略(粗略版)
2021/02/22 Python
HTML5 Canvas自定义圆角矩形与虚线示例代码
2013/08/02 HTML / CSS
JD Sports意大利:英国篮球和运动时尚的领导者
2017/10/29 全球购物
新西兰廉价汽车租赁:Snap Rentals
2018/09/14 全球购物
员工考核管理制度
2014/02/02 职场文书
学生未请假就回家检讨书
2014/09/22 职场文书
工厂仓管员岗位职责
2015/04/01 职场文书
观后感开头
2015/06/19 职场文书
关于公司年会的开幕词
2016/03/04 职场文书
如何用JavaScipt测网速
2021/05/09 Javascript
SpringRetry重试框架的具体使用
2021/07/25 Java/Android