PHP Secure Configuration Checker是一个用于检查当前PHP配置是否存在潜在安全
特征:
一个文件便于分发
对每个与安全相关的ini条目进行简单测试
其他一些测试 - 虽然不是太复杂
兼容PHP> = 5.4,或者如果可能> = 5.0
没有复杂/过度设计的代码,例如没有类/接口,测试框架,库,...... - 乍看之下 - 即使对于新手 - 这个工具如何工作以及它的作用应该是显而易见的!
没有(或很少)依赖
使用/安装:
CLI :只需调用php phpconfigcheck.php即可。而已。添加-a 以查看隐藏的结果,-h 表示HTML输出,-j 表示JSON输出。
WEB :将此脚本复制到您的Web服务器可访问的任何目录,例如您的文档根目录。
默认情况下,非CLI模式下的输出为HTML。可以通过设置环境变量PCC_OUTPUT_TYPE = text 或PCC_OUTPUT_TYPE = json 来更改此行为。
默认情况下隐藏某些测试用例,特别是跳过,ok和未知/未测试。要显示所有结果,请使用phpconfigcheck.php?showall = 1 。这不适用于JSON输出,默认情况下返回所有结果。
要在WEB模式下控制输出格式,请使用phpconfigcheck.php?format = ... ,其中format的值可能是text ,html 或json之一。例如:phpconfigcheck.php?format = text 。该格式参数优先PCC_OUTPUT_TYPE。
保障措施:大多数情况下,最好将与PHP配置等安全相关的问题保留给自己。已实施以下保障措施:
mtime check :两天后,此脚本在非CLI模式下停止工作。可以通过触摸phpconfigcheck.php 或再次将脚本复制到服务器(例如通过SCP)来重新启动检查。可以通过设置环境变量来禁用此检查:PCC_DISABLE_MTIME = 1 ,例如apache的.htaccess中的SetEnv PCC_DISABLE_MTIME 1 。
源IP检查:默认情况下,只有localhost(127.0.0.1和:: 1)可以访问此脚本。其它主机可以通过设置添加PCC_ALLOW_IP 到一个你的IP地址或通配符模式,如SETENV PCC_ALLOW_IP 10.0.0。* 中的.htaccess 。您也可以选择通过SSH端口转发访问您的 Web服务器,例如ssh -D 或ssh -L 。
故障排除:
disabled函数:此脚本需要一些函数才能正常工作,例如ini_get()和stat()。如果其中一个功能被列入黑名单(或未列入白名单),则执行将失败或产生无效输出。在这些情况下,可以暂时将Suhosin置于模拟模式并省略disable_functions。为了安全起见,可以使用.htaccess在单独的目录中完成宽松的安全配置。此外,可以使用您的Web服务器配置从命令行调用此脚本,例如php -n -c /etc/.../php.ini phpconfigcheck.php。
CLI:较旧的PHP版本不知道SAPI名称'cli',即使在cli上也使用CGI样式输出。解决方法:PCC_OUTPUT_TYPE = text /opt/php/php-5.1.6/bin/php phpconfigcheck.php
扫一扫
166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
