phpinfo()

Warum ist bei der twosteps GmbH die Ausgabe von phpinfo() ausgeschaltet und kann man das wieder einschalten?

Die Funktion phpinfo() ist bei der twosteps GmbH aus Sicherheitsgründen ausgeschaltet. Potentielle Angreifer, Hacker oder Skriptkiddys freuten sich mit Sicherheit über die vielen Informationen, die per phpinfo() ausgegeben werden. Er sieht sofort welche Module in welchen Versionen auf dem Server laufen, unter welchen Pfaden was wie erreichbar ist und bekommt als Zugabe noch so manche Konfigurationseinstellung gratis dazu. Ganz nebenbei hat der böse Bube noch einen mächtigen Helfer. Google! Sucht man bei Tante G einfach nach den typischen Inhalten aus der phpinfo-Anzeige. Bei der Google-Suche nach der FreeType-Lib gemäß Angabe aus phpinfo() gibt es sehr genaue Hinweise auf Sicherheitslücken in den Original-Libs .Da kann der Hacker dann gleich zielgerichtet arbeiten und muß nicht riskieren, durch eine IDS am schmutzigen Tun gehindert zu werden.

Wenn man sich ins Gedächtnis ruft, daß phpinfo() eine reine Informationsausgabe ist, wundert es einen halbwegs intelligenten Nutzer schon massiv, daß einige Sicherheitstechnische Neandertal-Programmierer diese Funktion immer noch in ihren Programmtexten verwenden und der Nutzer dies zur Vermeidung von Fehlermeldungen erst entfernen muß …

Haben Sie Fragen? Anfrage einreichen

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.
Powered by Zendesk