> Tech > Dissimuler phpinfo()

Dissimuler phpinfo()

Tech - Par iTPro - Publié le 24 juin 2010
email

La fonction phpinfo() donne une liste de tous les paramètres PHP, comme valeurs php.ini, noms et numéros de version du module d’extension, et variables Apache (figure 1). L’usage le plus courant de cette fonction est un document HTML simple nommé phpinfo.php, qui contient

Dissimuler phpinfo()

le bref fragment de code PHP.

Ce petit bout de code produira un grand document HTML donnant la liste de tous les paramètres .ini de PHP, options de compilation, modules d’extension inclus, et beaucoup d’autres informations qu’il vaut mieux que les pirates ne voient pas. Bien que phpinfo() soit un outil de débogage précieux, capable de collecter des informations de sources disparates sur une page unique, les pirates l’utilisent pour trouver des failles.

Il est bon que vous puissiez accéder facilement à la sortie de phpinfo() pour dépanner des applications, mais veillez à cacher cet accès, peut-être par une protection par mot de passe. PHP version 5.2.1 a amélioré cette situation en ajoutant des mots-clés ordonnant aux moteurs de recherche de ne pas indexer les pages phpinfo, ce qui réduit la menace du Google hacking.

Malgré cela, un observateur étranger à l’entreprise visualisant votre phpinfo() risque d’y trouver bien plus que vous ne le souhaiteriez.

Moralité : n’utilisez jamais la convention phpinfo.php, car c’est ce que tout pirate recherche dans un site victime potentiel. 

Téléchargez cette ressource

Guide de sécurité de l’adoption du Cloud

Guide de sécurité de l’adoption du Cloud

Avec la pandémie, l’adoption du Cloud s'est emballée, les failles de sécurité aussi. Sécuriser les données au niveau de l’organisation est la clé d'une utilisation sûre du Cloud. Dans ce livre blanc, découvrez les risques liés à cette adoption et les origines de faiblesse de sécurité des données.

Tech - Par iTPro - Publié le 24 juin 2010