PHP easter eggs
Ας συζητήσουμε για κάποιον απο τους κινδύνους που εγκυμονεί η χρήση της php σε θέματα ασφαλείας και πως μπορείτε απλά και γρήγορα να προστατευτείτε. Γνωρίζετε τα php easter eggs; Τα PHP easter eggs είναι query strings τα οποία έχουν προστεθεί στο τέλος ενός PHP site. Αν δεν είστε εξοικειωμένος με αυτά τότε υπάρχει πάντα η πιθανότητα το php site σας να αποκαλύπτει πληροφορίες που να μπορούν να βοηθήσουν ένα αποφασισμένο hacker να παραβιάσει τον ιστοτόπο σας Για να διαπιστώσετε αν υπάρχουν easter eggs , πηγαίνετε σε οποιαδήποτε PHP site και προσθέστε αυτό στο τέλος του url σας: ?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 Βλέπετε την PHP credits page; Είναι μια σελίδα με πληροφορίες για την έκδοση της php που τρέχει στον server σας και κάποιες άλλες παραπλήσιες πληροφορίες. Αυτές τις πληροφορίες θα μπορούσατε να τις βρείτε με την χρήση της εντολής phpinfo — που δίνει στοιχεία για την σύνθεση της php στον server σας άρα αποτελεί και ένα πρακτικό οδηγό σε κάθε επίδοξο hacker. Αυτή η σελίδα δεν περιέχει κάτι επικίνδυνο. Απλά ενημερώνει κάποιον όπως προαναφέραμε για την έκδοση της php . Τότε θα αναρωτηθείτε που κρύβεται η επικινδυνότητα σε αυτά τα στοιχεία; Ένας hacker βλέποντας την σελίδα αυτή και τις πληροφορίες που αυτή παρέχει για την έκδοση της php που χρησιμοποιείται π.χ. βλέποντας μια πληροφορία όπως την ακόλουθη X-Powered-By: PHP/5.3.13 και γνωρίζοντας την έκδοση php που χρησιμοποιείται θα ήξερε αμέσως ποιά γνωστά θέματα ασφαλείας υπάρχουν στην έκδοση της php σας και να επικεντρώσει τις προσπάθειες του εκεί. Τις αυτές χρήσιμες για τους σκοπούς του πληροφορίες μπορεί να εκμαιεύσει και για τον apache web server και την έκδοση του που ενδεχομένως χρησιμοποιείται. .
Για αυτό καλό θα ήταν να ακολουθήσετε τις ακόλουθες προφυλάξεις ασφαλείας. 1 expose_php = off ορίστε το στο php.ini αρχείο για να απενεργοποιήσετε αυτή την αναφορά. Αν όμως χρησιμοποιείται ένα shared server και ως εκ τούτου δεν έχετε πρόσβαση στο php.ini, μπορείτε απλά να απαγορεύσετε την πρόσβαση προσθέτοντας την ακόλουθη γραμμή κώδικα στο .htaccess file: 1 RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}[0-9a-f]{12} [NC] RewriteRule .* - [F] Φυσικά να έχετε υπόψη σας ότι η αλλαγή αυτή θα επηρεάσει σε ένα shared server μόνο το συγκεκριμένο web site που θα κάνετε την αλλαγή.Για τυχόν άλλα web sites στον ίδιο server ή θα επαναλάβετε την διαδικασία ή απλά θα μιλήσετε με τον hosting provider σας. Φυσικά μπορείτε να αποταθείτε και στην web design εταιρεία που ανέλαβε τον σχεδιασμό της ιστοσελίδας σας για να προσθέσει αυτήν την γραμμή κώδικα με την προυπόθεση φυσικά να έχει ακόμη στην διάθεση του τους κωδικούς πρόσβασης