> Tech > Dissimuler phpinfo()

Dissimuler phpinfo()

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

La fonction phpinfo() donne une liste de tous les paramètres PHP, comme valeurs php.ini, noms et numéros de version du module d’extension, et variables Apache (figure 1). L’usage le plus courant de cette fonction est un document HTML simple nommé phpinfo.php, qui contient

Dissimuler phpinfo()

le bref fragment de code PHP.

Ce petit bout de code produira un grand document HTML donnant la liste de tous les paramètres .ini de PHP, options de compilation, modules d’extension inclus, et beaucoup d’autres informations qu’il vaut mieux que les pirates ne voient pas. Bien que phpinfo() soit un outil de débogage précieux, capable de collecter des informations de sources disparates sur une page unique, les pirates l’utilisent pour trouver des failles.

Il est bon que vous puissiez accéder facilement à la sortie de phpinfo() pour dépanner des applications, mais veillez à cacher cet accès, peut-être par une protection par mot de passe. PHP version 5.2.1 a amélioré cette situation en ajoutant des mots-clés ordonnant aux moteurs de recherche de ne pas indexer les pages phpinfo, ce qui réduit la menace du Google hacking.

Malgré cela, un observateur étranger à l’entreprise visualisant votre phpinfo() risque d’y trouver bien plus que vous ne le souhaiteriez.

Moralité : n’utilisez jamais la convention phpinfo.php, car c’est ce que tout pirate recherche dans un site victime potentiel. 

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010