PHP降低程序漏洞、隐藏版本号

最新推荐文章于 2024-01-02 14:42:25 发布
最新推荐文章于 2024-01-02 14:42:25 发布
阅读量485 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjgaocp/article/details/87933012
版权

1 禁止将PHP报错信息输给用户
vim /application/php/lib/php.ini
expose_php = Off #在http头部隐藏PHP信息
error_reporting = E_ALL #报告所有错误和警告
display_errors = Off #禁止把错误信息显示在客户端输出中
display_startup_errors = Off #禁止把启动错误显示在客户端输出中
log_errors = On #记录错误
error_log = /var/log/php_error.log #指定错误日志路径
ignore_repeated_errors = Off #禁止忽略重复错误

2 PHP的通用安全配置
open_basedir = 路径 #只允许PHP访问该路径下的文件
allow_url_fopen = Off #禁止PHP打开远程文件
allow_url_include = Off #禁止PHP包含远程文件
variables_order = “GPSE” #设置变量的解析顺序
allow_webdav_methods = Off

3 PHP上传文件的安全处理
file_uploads = On #是否启用文件上传,如不需要则配置为Off
upload_tmp_dir = 路径 #指定上传文件的临时目录
upload_max_filesize = 2M #指定允许上传的最大文件大小

4 PHP执行文件的安全处理
enable_dl = Off #禁止动态加载模块

disable_functions = phpinfo,passthru,exec,system,popen,chroot,escapeshellcmd,escapeshellarg,shell_exec,proc_open,proc_
最低0.47元/天 解锁文章
bjgaocp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
隐藏Nginx或Apache以及PHP版本号的方法
12-18
此外,除了隐藏版本号,还应该定期更新你的服务器软件,以修补已知的安全漏洞,同时配合防火墙、入侵检测系统等安全措施,以构建更全面的安全防护体系。记住,安全是持续的过程,保持警惕并定期审查你的安全策略至关...
微信小程序获取手机号码解密算法PHP版本
03-20
注意,微信为了隐私保护,手机号码可能会有部分隐藏,比如中间几位用星号(*)代替。 6. **异常处理**:在实际开发中,需要考虑可能出现的错误,如解密失败、网络问题、权限问题等,并提供相应的错误处理机制。 在...
thinkphp 5-rce版本漏洞复现(超详细版)
精品博客,你值得一看~
08-06 8027
s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=加你要写入的文件内容url编码。(3)还可以将php代码写入文件, 此处我们写一个phpinfo。(1)在url输出关于 PHP 配置的信息。说明存在远程命令执行漏洞!ip a #获取自己的本机 ip。(4)查看shell.php内容。直接访问 ip+端口。
ThinkPHP 5.0 低版本反序列化漏洞利用
weixin_46236101的博客
10-19 1124
前言 背景 日常渗透测试中,ThinkPHP低版本的站点虽然很少,但是总会有的,之前有大佬公开5.0.*的利用链,是适合中高版本的ThinkPHP框架,由于一些代码的改动,导致在某些地方并不能兼容所有的版本。 比如: 在5.0.16版本以下,HasOne类的getRelation的触发点removeWhereField方法未被调用。 在5.0.11版本以下,model类得三目运算符处的出发点不存在。 在5.0.4版本以下,触发的位置又有所不同。 本文将对已知反序列化利用链进行分析,并对比新老版本差异,构造
php 隐藏密码错误,隐藏PHP版本的方法 PHP基本安全设置
weixin_39692557的博客
03-31 86
本节内容:隐藏PHP版本,避免一些因PHP版本漏洞而引起的攻击。1、隐藏PHP版本其实就是隐藏 “X-Powered-By: PHP/5.2.13″ 这样的信息。编辑php.ini配置文件,修改或加入: expose_php = Off保存,重新启动Nginx或Apache等相应的Web服务器即可。检测:复制代码 代码示例:[root@jbxue /]# curl -I www.jbxue.com...
PHP168 6.0及以下版本漏洞
CURSED!
09-23 231
PHP168 6.0及以下版本漏洞 # 鬼仔:未测试。最近比较忙,所以很多东西都更新不及时,也有好多没贴上来,抱歉,这几天整理下,把积攒的都更新了。 来源:chinesehonker 危险等级:高 影响版本:PHP168 6.0以下版本 入侵者可以在用户登陆页面构造特殊语句,将PHP一句话写入cache目录,从而获得使用PHP168整站程序网站的WEBSHELL权限。 测试语...
隐藏.php,php如何隐藏版本
weixin_33110431的博客
03-09 747
php隐藏版本的方法:1、查看当前php版本号;2、定位“php.ini”文件;3、查看当前PHP所用配置文件;4、隐藏版本号并重启apache即可。PHP隐藏版本号PHP本身并不启监听服务,所以预防扫描器扫描通过版本号判断漏洞,我们要隐藏的是http头处的版本号,而不是隐藏系统命令行处的版本号。1.查看当前php版本号访问一当前服务中的任意页面,截取响应数据包2.定位php.ini文件locat...
php 关闭版本号,php隐藏版本号的方法
weixin_40001275的博客
03-10 994
php隐藏版本号的方法发布时间:2020-07-03 13:34:00来源:亿速云阅读:92作者:Leah本篇文章给大家分享的是有关php隐藏版本号的方法,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。PHP本身并不启监听服务,所以预防扫描器扫描通过版本号判断漏洞,我们要隐藏的是http头处的版本号,而不是隐藏系统命令行处的版本号。1....
一款PHP个人发卡程序V4.0版本
07-02
一款PHP个人发卡程序V4.0版本,虽然说是简洁发卡,但是程序功能却少不了,这里的简洁意思是发卡界面简约美观大气,具体可以看封面图,做个人发卡网站必备,安装教程,直接上传程序和数据库到服务器,无需安装,然后...
PHP+Apache环境中如何隐藏Apache版本
10-18
PHP+Apache服务器环境为例,给大家讲解如何能够隐藏Apache的版本号以及具体做法。
在Linux系统的服务器上隐藏PHP版本号的方法
12-18
关闭“expose_php”参数可以使php隐藏它的版本信息。  [root@centos66 ~]# vi /etc/php.ini 在你的php.ini, 定位到含有expose_php的那行把On设成Off: expose_php = Off 在此之前,web服务器头看上去就像这样...
漏扫获取php版本号方式,漏洞扫描php实现代码
weixin_34118593的博客
04-14 606
#!/usr/bin/php -q/*** Php Vulnerability Scanner by KingOfSka @ http://www.contropoterecrew.org* still very early release, just for testing and coding purpose :)** Changelog:** 12/09/06 ...
服务器如何检测当前网站php版本,以及修改php上传附件参数
wwwwestcn的博客
11-26 648
我司网站管理助手环境下支持多版本php,某些原因需要更改php的参数配置,但由于没有修改当前使用的php,导致没有看到生效。检测当前网站的php版本很简单: <?php phpinfo(); ?> 复制这段代码,写入记事本保存命名为x.php,然后将此文件上传到网站的根目录,通过www.xxx.com/x.php访问就可以看到php版本,这个页面也会看到php.ini的存放路径信息,我司默认php安装路径d:\SOFT_PHP_PACKAGE\ 上传附件参数修改可以参考:asp/ph
修改Nginx版本号隐藏PHP版本号
架构师修炼道路
02-05 883
title: 修改Nginx版本号隐藏PHP版本号在实践中通常需要主动隐藏或篡改软件版本号,防止攻击者通过特定版本号的已知漏洞进行针对性攻击。下面演示如何修改nginx版本号,以及隐藏php版本号。more。
强制修改php版本号,隐藏修改Apache和PHP版本号的必要性与方法!【适用于win和linux系统】...
weixin_39763953的博客
03-10 273
一般情况下,软件的漏洞信息和特定版本是相关的,因此,软件的版本号对攻击者来说是很有价值的。在默认情况下,系统会把Apache版本模块都显示出来(http返回头信息)。如果列举目录的话,会显示域名信息(文件列表正文),如:[root@localhost tmp]# curl -I 192.168.80.128:88HTTP/1.1 403 ForbiddenDate: Wed, 21 Jul 201...
PHP网站常见一些安全漏洞及防御方法_php
最新发布
liuhyusb的博客
01-02 539
一、常见PHP网站安全漏洞对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞
程序员都需要懂的10种常见安全漏洞
lixinkuan的博客
05-27 4283
1. SQL 注入 1.1 什么是SQL注入? 1.2 SQL注入是如何攻击的? 1.3 如何预防SQL注入问题 2. JSON反序列化漏洞——如Fastjson安全漏洞 2.1 什么是JSON序列化,JSON发序列化 2.2 JSON 反序列化漏洞是如何被攻击? 3. XSS 攻击 3.1 什么是XSS? 3.2 XSS是如何攻击的? 3.3 如何解决XSS攻击问题 4. CSRF 攻击 4.1 什么是CSRF 攻击? 4.2 ...
程序漏洞:安全威胁的隐患
鑫和皓的博客
08-10 1062
为了减少程序漏洞的风险,开发人员和组织应该采取预防措施,包括安全编码实践、更新和修补、安全测试和审计、输入验证和过滤、最小权限原则、加密和安全传输以及安全意识培训。输入验证和过滤:对用户输入进行正确的验证和过滤,包括输入长度限制、数据类型验证、特殊字符过滤等,以防止注入攻击和其他恶意输入。安全测试和审计:对程序进行安全测试和审计,包括静态代码分析、漏洞扫描和渗透测试等,以发现潜在的漏洞并及时修复。更新和修补:及时更新和修补软件和操作系统,以获取最新的安全补丁和修复程序,以防止已知漏洞的利用。
PHP常见漏洞的防范措施
大鹏
12-18 1991
一、常见PHP网站安全漏洞 对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
php 获取当前PHP版本号对比程序
04-24
可以使用PHP内置函数phpversion()获取当前PHP版本号,比较例子如下: $current_version = phpversion(); $target_version = '7.3.0'; if (version_compare($current_version, $target_version, ')) { echo '当前...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值