PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

最近在折腾网站XSS漏洞修复的时候,当我把XSS漏洞和谐成功之后,360扫描送来了一个"彩蛋":

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法 PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法 PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

本以为又是360误报,结果点击看了下,还真能打开PHPinfo:

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

PHP彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为PHP是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神!

一、如何触发PHP彩蛋?

我们只要在运行PHP的服务器上,在域名后面输入下面的字符参数,就能返回一些意想不到的信息。当然有些服务器是把菜单屏蔽了的。彩蛋只有这4个,PHP是开放源代码的,所以不必担心还有其他。

我2个网站目前都已屏蔽了PHP彩蛋,所以我们一起来看下腾讯的招聘网站:

原网站是这样的 点击跳转

加上“彩蛋之后”是这样:

1). PHP信息列表 点击跳转

2). PHP的LOGO 点击跳转

3). Zend LOGO 点击跳转

4). PHP LOGO 蓝色大象  点击跳转

二、如何看待PHP彩蛋?

如果你在自己的博客上也发现了这个问题,请不要惊慌,也莫要想着必须马上去解决他。其实这不算是漏洞。只是开源团队开的一个玩笑,全世界都认可的玩笑。没必要上纲上线,将它列为PHP的漏洞,连360都戏称为[彩蛋漏洞]。

三、如何屏蔽PHP彩蛋?

方法①、我们可以通过apache或者nginx的伪静态规则去屏蔽,比如apache的服务器,我们可以在 .htaccess 里面加入以下2条规则即可拦截此类访问:

方法②、 直接编辑PHP的配置文件php.ini,找到expose_php,将值改为Off,然后重启或重载PHP服务即可:

我是懒得去想nginx规则该如何写了,直接修改php.ini来屏蔽的。屏蔽后,再去触发彩蛋发现已经无效了。再用360检测已经没有任何问题了:

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

如果你也发现你的网站有这个问题,也不必太在意。当然,强迫症还是去折腾修复下,免得坐立不安,哈哈!

发表评论

gravatar

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen:

刷新评论

目前评论:4   其中:访客  4   博主  0

  1. YsiCing 2 来自天朝的朋友 谷歌浏览器 Windows 7 安徽省安庆市桐城市 电信

    这个彩蛋曾经在一次比赛中看到过,再次复习一下

  2. 微博速递 0 来自天朝的朋友 谷歌浏览器 Windows 7 广东省深圳市 电信

    高手!微博速递http://weibo.zhaock.org 彩蛋已屏蔽

  3. 消灭星星 2 来自天朝的朋友 谷歌浏览器 Windows 7 浙江省杭州市 电信

    既然来了就留个爪印吧

  4. 三维一度 2 来自天朝的朋友 谷歌浏览器 Windows 7 上海市松江区 电信

    不错 有一次在张戈大哥的博客上学到东西了

加载中,请稍候...