¿Riesgos de seguridad de tener una página pública phpinfo ()?

10

Tengo una página de acceso público que solo tiene 

<?php phpinfo(); >

Lo uso con fines de depuración mientras estamos en beta, pero ¿hay algún daño en dejarlo accesible cuando es un sitio en vivo?

apache-2.2 php security phpinfo siliconpi
fuente

Respuestas:

11

Dependería por completo de la confianza que tenga en su instalación de PHP. Si crees que es sólido como una roca, incluso si un atacante sabe todo sobre tu instalación de PHP, entonces puedes dejarlo en su lugar.

Pero realmente, ¿por qué dejarías esto en un sistema de producción? Puede haber vulnerabilidades de las que no tenga conocimiento en su versión de PHP; las personas pueden ahora o en el futuro buscar su versión de PHP, u opciones particulares que haya habilitado, porque saben cómo llevarlas a cabo. Entonces, al mantener esto públicamente, te agregaste a tu lista de éxitos.

Si desea mantenerlo, puede ponerlo en un directorio protegido por contraseña, o simplemente encenderlo cuando lo necesite. Dado el pequeño costo de estas opciones, no me arriesgaría a mantenerlo público.

dunxd
fuente
2
Ajustar la llamada de función en un condicional generalmente es el truco, es decir <?php if ( $_SERVER['REMOTE_ADDR'] == '1.2.3.4' ) phpinfo(); ?>(dónde 1.2.3.4está su dirección IP)
danlefree
Gracias @dunxd - y gracias @danlefree por el consejo ... ¡hay tantos sitios que aún exponen sus phpinfos!
siliconpi
1
También hay muchos sitios que exponen phpmyadmin; no siga los ejemplos de baja seguridad de otras personas. Es posible que no valoren sus datos o la integridad de su servidor tanto como usted valora los suyos.
dunxd
Si bien la solución de @ dunxd es completa y perfecta, realmente me gusta la solución de @ danlefree al problema. No estoy seguro de por qué nunca pensé en esto antes y usaré este modelo en el futuro. Para seguir con el tema, también quería agregar que también soy de la opinión de que exponer públicamente PHP en una phpinfo()función no es una buena idea.
justinhartman