1、既然访问 域名+?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 会爆出phpinfo信息,那么我就能要从php下手,先看下(下面图)上的信息,有没有可疑的设置。在正常环境下是不需要改动的。
2、phpinfo()是用来显示当前php环境的函数配置,许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示用来查看函数,但是phpinfo里存在一些安全问题,导致精心构造数据就可以产生一个跨站脚。主要因为php.ini文件没有配置好。php.ini文件位置(如下图),此图是根据作者本机位置,其他环境中的位置,根据PHP环境安装目录查找即可。
3、知道phpinfo就能利用漏洞代码进行攻击,这个对一个站点或者整个服务器是非常危险的。漏洞利用代码:<html> <head> <META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </head> <body> <iframe src="http://域名/phpinfo.php? ADw-SCRIPT AD4-alert(document.domain); ADw-/SCRIPT AD4-=1">
4、危害:以上代码在IE7 php 5.2.6测试成功。phpinfo页面的xss甚至比其他页面更加危险,因为如果有phpinfo的存在,恶意攻击者可以利用phpinfo的输出bypass如httponly和一些基础认证。 最好在配置应用程序的时候用安全工具检测一下自己的环境。
5、说明:漏洞影响: 影响所有版本的php和浏览器IE7 漏洞修补: 建议暂时删除站点的phpinfo页面避免被人利用。
6、解决方法爆出phpinfo的方法:通过修改服务器环境内php.ini文件。找到:expose_php=On 修改成:expose_php=Off 然后重启php即可。修改位置可以批量查找”expose_php“。(如下图)找到修改即可。
