La fonction phpinfo() donne une liste de tous les paramètres PHP, comme valeurs php.ini, noms et numéros de version du module d’extension, et variables Apache (figure 1). L’usage le plus courant de cette fonction est un document HTML simple nommé phpinfo.php, qui contient
Dissimuler phpinfo()

le bref fragment de code PHP.
Ce petit bout de code produira un grand document HTML donnant la liste de tous les paramètres .ini de PHP, options de compilation, modules d’extension inclus, et beaucoup d’autres informations qu’il vaut mieux que les pirates ne voient pas. Bien que phpinfo() soit un outil de débogage précieux, capable de collecter des informations de sources disparates sur une page unique, les pirates l’utilisent pour trouver des failles.
Il est bon que vous puissiez accéder facilement à la sortie de phpinfo() pour dépanner des applications, mais veillez à cacher cet accès, peut-être par une protection par mot de passe. PHP version 5.2.1 a amélioré cette situation en ajoutant des mots-clés ordonnant aux moteurs de recherche de ne pas indexer les pages phpinfo, ce qui réduit la menace du Google hacking.
Malgré cela, un observateur étranger à l’entreprise visualisant votre phpinfo() risque d’y trouver bien plus que vous ne le souhaiteriez.
Moralité : n’utilisez jamais la convention phpinfo.php, car c’est ce que tout pirate recherche dans un site victime potentiel.
Téléchargez cette ressource

Guide de sécurité de l’adoption du Cloud
Avec la pandémie, l’adoption du Cloud s'est emballée, les failles de sécurité aussi. Sécuriser les données au niveau de l’organisation est la clé d'une utilisation sûre du Cloud. Dans ce livre blanc, découvrez les risques liés à cette adoption et les origines de faiblesse de sécurité des données.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Une nouvelle culture de la donnée pour une prise de décision optimisée
- ESG, initiatives réussies pour les télécoms
- Paessler relève les défis de la supervision d’un monde en évolution
- DPO : 5 ans après le RGPD, comment collaborer avec le RSSI ?
- EGERIE analyse les risques financiers liés aux risques cyber
