暴露PHP版本号带来的风险?

最近 被问到一个问题
暴露PHP版本号带来的风险
我是一脸懵的 因为之前没特别留意过这些安全方面的问题

于是乎
我搜索google了许久 发现大部分都是在讲解如何修复
最后 发现原因

解决办法

1
2
3
4
# 修改 php.ini 中的 expose_php 参数关闭暴露版本号
expose_php = Off

# 或者在php文件中使用header()进行修改

原因

在php渲染的网页 header 信息中 会包含php的版本号信息 比如: X-Powered-by: PHP/7.1.2
有些黑客可能采用扫描的方式 批量寻找低版本的 php 服务器 利用 php 漏洞(比如 hash 冲突)来攻击服务

拓展

同理 header信息中 所暴露的server信息也是不安全的做法

  • apache 解决办法
1
2
# 修改httpd.conf 然后重启服务
ServerTokens Prod
  • nginx 解决办法
1
2
# 修改nginx.conf(在http段里设置)  然后重启服务
server_tokens off

总结

对于header输出的内容 要加以控制
增强Web应用的安全性

# PHP

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×