Test php info: PHP: phpinfo — Manual

Поиск файлов phpinfo.php, часть 3 / Хабр

netload
23 окт 2011 в 14:11

Время на прочтение
2 мин

Количество просмотров 3.1K

Информационная безопасность *

Повторил эксперимент по поиску файлов phpinfo.php, добавив в проверку файлы info.php и php.php.

Было исследовано 37,056 сайтов Рунета, из них на 3,787 нашлись файлы phpinfo.php, info.php или php.php с функцией phpinfo (~10,22%).

Аналогичная проверка зарубежных сайтов: исследовано 164,288 сайтов, phpinfo.php, info.php или php.php обнаружены на 7,944 (~4,84%).

Побочный результат исследования, статистика версий PHP

Версия	Рунет			Буржуйнет
5.3	423	11,17%	+3,67%	935	11,77%	+4,51%
5. 2	2421	63,93%	-0,12%	5059	63,68%	+0,87%
5.1	196	5,18%	-1,20%	744	9,37%	-1,73%
5.0	14	0,37%	+0,12%	46	0,58%	-0,28%
4.4	586	15,47%	-1,30%	845	10,64%	-2,10%
4.3	140	3,70%	-1,16%	298	3,75%	-1,21%
4.2	5	0,13%	-0,02%	13	0,16%	-0,08%
4. 1	2	0,05%		4	0,05%	+0,01%
	3787			7944

Подробная статистика по версиям PHP.

Версия	Рунет			Буржуйнет
5.3.8	109	2,88%	+2,88%	194	2,44%	+2,44%
5.3.7	4	0,11%	+0,11%	2	0,03%	+0,03%
5.3.6	76	2,01%	+0,34%	278	3,50%	+2,04%
5.3.5	54	1,43%	-0,24%	111	1,40%	-0,26%
5. 3.4	8	0,21%	+0,06%	24	0,30%	-0,24%
5.3.3	111	2,93%	+0,82%	180	2,27%	+0,39%
5.3.2	52	1,37%	-0,05%	112	1,41%	+0,19%
5.3.1	6	0,16%	-0,14%	21	0,26%	-0,06%
5.3.0	3	0,08%	-0,12%	13	0,16%	-0,02%
5.2.17	806	21,28%	+5,15%	2210	27,82%	+10,41%
5.2.16	31	0,82%	-0,46%	205	2,58%	-1,40%
5. 2.15	3	0,08%	-0,66%	20	0,25%	-2,45%
5.2.14	154	4,07%	-0,45%	354	4,46%	-2,96%
5.2.13	102	2,69%		307	3,86%	-2,41%
5.2.12	362	9,56%	-1,08%	157	1,98%	+0,02%
5.2.11	84	2,22%	-0,87%	306	3,85%	+1,73%
5.2.10	179	4,73%	+0,71%	148	1,86%	-0,08%
5.2.9	89	2,35%	-0,45%	429	5,40%	-0,18%
5. 2.8	45	1,19%	-0,43%	95	1,20%	-0,66%
5.2.7				1	0,01%	-0,01%
5.2.6	298	7,87%	-0,66%	452	5,69%	-0,33%
5.2.5	113	2,98%	-0,55%	121	1,52%	-0,44%
5.2.4	92	2,43%	-0,12%	119	1,50%	-0,32%
5.2.3	19	0,50%	-0,23%	40	0,50%	+0,02%
5.2.2	7	0,18%	-0,06%	13	0,16%	+0,02%
5.2.1	7	0,18%	-0,11%	24	0,30%	-0,10%
5. 2.0	30	0,79%	+0,15%	58	0,73%	-0,01%
5.1.6	174	4,59%	-1,24%	694	8,74%	-1,60%
5.1.5				1	0,01%	-0,01%
5.1.4	8	0,21%	+0,02%	24	0,30%	-0,16%
5.1.2	13	0,34%	+0,05%	21	0,26%	+0,04%
5.1.1	1	0,03%	-0,02%	3	0,04%	+0,02%
5.1.0				1	0,01%	-0,03%
5.0.5	2	0,05%	+0,05%	12	0,15%	-0,31%
5. 0.4	12	0,32%	+0,07%	28	0,35%	+0,03%
5.0.3				3	0,04%	-0,02%
5.0.2				2	0,03%	+0,01%
5.0.1				1	0,01%	+0,01%
4.4.9	373	9,85%	-0,30%	574	7,23%	-0,39%
4.4.8	55	1,45%	-0,26%	66	0,83%	-0,49%
4.4.7	34	0,90%	-0,52%	80	1,01%	-0,29%
4.4.6	6	0,16%	+0,01%	13	0,16%	-0,04%
4. 4.5	1	0,03%	-0,02%	1	0,01%	-0,03%
4.4.4	74	1,95%	-0,11%	53	0,67%	-0,73%
4.4.3	6	0,16%	+0,01%	9	0,11%	-0,03%
4.4.2	16	0,42%	-0,07%	15	0,19%	-0,05%
4.4.1	12	0,32%	-0,12%	20	0,25%	+0,01%
4.4.0	9	0,24%	+0,09%	14	0,18%	-0,06%
4.3.12	1	0,03%	-0,02%
4.3.11	16	0,42%	-0,17%	50	0,63%	-0,51%
4. 3.10	49	1,29%	-0,42%	74	0,93%	-0,29%
4.3.9	49	1,29%	-0,47%	109	1,37%	-0,33%
4.3.8	2	0,05%	-0,05%	7	0,09%	+0,05%
4.3.7				1	0,01%	-0,01%
4.3.6	4	0,11%	+0,06%	6	0,08%	+0,04%
4.3.5				1	0,01%	-0,01%
4.3.4	5	0,13%	+0,03%	15	0,19%	-0,13%
4.3.3	3	0,08%	+0,08%	9	0,11%	-0,03%
4. 3.2	6	0,16%	-0,23%	21	0,26%	+0,04%
4.3.1	3	0,08%	+0,03%	2	0,03%	-0,03%
4.3.0	2	0,05%		3	0,04%
4.2.3	4	0,11%	-0,04%	7	0,09%	-0,03%
4.2.2	1	0,03%	+0,03%	5	0,06%	-0,06%
4.2.1				1	0,01%	+0,01%
4.1.2	2	0,05%		3	0,04%	+0,02%
4.1.1				1	0,01%	-0,01%
	3787			7944

Статистика по именам файлов.

На некоторых сайтах обнаружены два файла, поэтому сумма по файлам не совпадает с количеством сайтов.

Список российских сайтов взят из Яндекс.Каталога, список зарубежных сайтов из DMOZ.

Взлом сайта начинается со сбора информации о сервере!

%username%, а ты удалил файл phpinfo.php (php.php, temp.php, test.php) со своего сайта?

Теги:

• php
• phpinfo
• сбор информации
• информационная безопасность

Хабы:

• Информационная безопасность

Всего голосов 68: ↑51 и ↓17 +34

Комментарии
49

@netload

Пользователь

RUSLAN NOVIKOV — Full Stack Developer /Chief Technology Officer (CTO)

• 
  
  Latest




• 
  
  Popular





• 
  
  Trending

Uncategorized

Swagger/OpenAPI Specification как основа для ваших приёмочных тестов

May 27, 2021

Ruslan Novikov

Человеческая жизнь слишком коротка, чтобы тратить ее на интеграцию и документацию. С помощью контрактов и кодогенераторов можно сократить рутинные операции…

Криптография Шифрование

Blockchain глазами разработчика

May 26, 2021

Ruslan Novikov

Уже давно существует ассиметричная криптография. Напомню, есть открытый и закрытый ключи. Шифруем открытым, расшифровываем закрытым. Или наоборот. Один из другого…

Uncategorized

Технологии искусственного интелекта

May 12, 2021

Ruslan Novikov

ТЕХНОЛОГИИ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА 2019 Содержание Глоссарий 5 НАИБОЛЕЕ ПОПУЛЯРНЫЕ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ МАШИННОГО ОБУЧЕНИЯ 31 ВВЕДЕНИЕ 10 Компьютерное зрение 32 Основные…

Java Script / Ajax

Uncategorized

Видеонаблюдение

Серверный WebRTC 2021 — обзор возможностей

May 12, 2021

Ruslan Novikov

1. Кому нужен серверный WebRTC? Как все мы знаем, WebRTC — это peer-to-peer технология, реализующая канал коммуникации между двумя браузерами,…

Большой брат следит за нами

Хакеры, кибервойна

Как правильно начать сотрудничество со Службой Внешней Разведки РФ в Даркнете

May 9, 2021

Ruslan Novikov

Об одной интересной кнопке У Службы внешней разведки есть сайт, как, впрочем, у всех федеральных ведомств. Вот он http://svr.gov.ru/ Это теперь положено…

Философия

Юр вопросы, стандарты, инфраструкрута

Почтальонов 20 лет по ошибке сажали в тюрьму из-за «кривого» ПО

Apr 27, 2021

Ruslan Novikov

Британская почтовая компания Post Office десятками лет использовала ПО Horizon с ошибкой в коде. Оно применялось для учета всех продаж…

DevOps

Как работает команда DevOps

Apr 15, 2021

Ruslan Novikov

Мы занимаемся автоматизацией внутренних процессов и помогаем разработчикам и тестировщикам. В прошлой статье я уже писал, как выстроен карьерный рост у инженеров,…

You missed

Как проверить вашу систему PHP с помощью phpinfo

Отзывы
Что говорят наши клиенты о Team Password Manager

Текущая версия Team Password Manager: 12. 143.260

Team Password Manager работает на PHP (https://www.php.net/), языке, предназначенном для веб-разработки. Чтобы запустить Team Password Manager, вам сначала нужно установить PHP и некоторые модули PHP, поэтому вам нужен инструмент, чтобы проверить, какая версия PHP у вас установлена ​​и какие модули запущены в вашей установке. Этот инструмент phpinfo (https://www.php.net/manual/en/function.phpinfo.php), функция, которая показывает конфигурацию PHP.

• Как отобразить конфигурацию PHP с помощью phpinfo
• Локальные и основные значения
• Соответствующие записи phpinfo для Team Password Manager
• Как изменить значение параметра PHP

Как отобразить конфигурацию PHP с помощью phpinfo

1. Создайте текстовый файл в той же папке, что и файлы Team Password Manager (или в корне вашего веб-сервера) с именем phpinfo.php .
2. Введите это в текстовый файл:
3. Откройте этот файл в браузере, например: https://tpm. mycompany.com/phpinfo.php.
4. Если все правильно, вы должны увидеть очень большую страницу, похожую на эту (здесь показаны только первые записи):

Важно : как только вы закончите работу с phpinfo, вы должны удалить файл phpinfo.php. phpinfo предоставляет много информации о вашей системе, и злоумышленник может использовать ее, чтобы получить доступ к вашей установке.

Локальные и основные значения

Некоторые записи имеют «Локальное значение» и «Основное значение», например:

Основное значение — это значение записи, скомпилированное в PHP или заданное в основном файле конфигурации php.ini . Локальное значение — это значение записи, действующее при выполнении phpinfo. Это результат использования директив, которые могут изменять конфигурацию PHP, таких как ini_set() или php_value в .htaccess. Оба значения обычно одинаковы, но если это не так, локальное значение — это то, что вам нужно в следующем разделе.

Соответствующие записи phpinfo для Team Password Manager

Здесь у вас есть список записей phpinfo, относящихся к Team Password Manager, со ссылками на соответствующие документы, если это необходимо:

• Основной раздел:
  • Версия PHP : вверху будет указано, какая версия PHP установлена ​​в вашей системе. Посмотрите, какие значения в настоящее время принимаются для Team Password Manager, на странице «Требования».
  • Server API : как PHP взаимодействует с веб-сервером. Может иметь несколько значений: Apache 2.0 Handler (mod_php), FPM/FastCGI, CGI/FastCGI и другие. Ознакомьтесь с примечаниями в документе по установке, чтобы узнать, как это повлияет на вашу конфигурацию.
  • Загруженный файл конфигурации : основной файл конфигурации, используемый для установки значений PHP. См. следующий раздел, чтобы узнать, как использовать его для изменения значения.
  • Сканировать этот каталог на наличие дополнительных файлов .ini и Проанализированы дополнительные файлы .ini : другие файлы конфигурации, используемые для установки значений PHP. См. следующий раздел, чтобы узнать, как использовать их для изменения значения.
  • Безопасность потоков : в системе Windows, если значение «отключено», используйте загрузчик Ioncube без TS. Более подробная информация здесь: https://www.ioncube.com/loaders.php.
  • Zend Engine box : он сообщит вам, установлен ли у вас Ioncube Loader (который требуется для запуска Team Password Manager), и если да, то какая у вас версия. Более подробная информация здесь: https://www.ioncube.com/loaders.php.
    Также сообщает, установлено ли расширение Xdebug. Обратите внимание, что вам необходимо отключить его, если вы используете Team Password Manager v. 11+.
• Сердечник :
  • always_populate_raw_post_data : этот параметр существует только в PHP 5.6. Если ваша установка имеет эту версию PHP, убедитесь, что она установлена ​​на -1.
  • max_execution_time : PHP-скрипты, выполняемые из браузера, имеют максимальное время выполнения, которое по умолчанию составляет 30 секунд. Вы можете установить этот предел выше, увеличив это значение. В случае Team Password Manager это влияет на такие процессы, как синхронизация LDAP, импорт/экспорт и т. д. Дополнительная информация: https://www.php.net/manual/en/info.configuration.php#ini.max-execution- время.
  • max_input_vars : этот параметр по умолчанию ограничивает количество полей в форме до 1000. Некоторые формы Team Password Manager, особенно те, которые устанавливают разрешения для паролей и проектов, содержат множество полей. Итак, если эти формы содержат более 1000 полей, вам необходимо увеличить количество этой настройки. Дополнительная информация: https://www.php.net/manual/en/info.configuration.php#ini.max-input-vars.
  • upload_max_filesize : используется для изменения максимального размера загружаемых файлов. Дополнительная информация: как изменить максимальный размер файла.
  • post_max_size : используется для изменения максимального размера загружаемых файлов. Дополнительная информация: как изменить максимальный размер файла.
  • memory_limit : используется для изменения максимального размера загружаемых файлов. Дополнительная информация: как изменить максимальный размер файла.
• модуль cgi-fcgi : если в вашей установке используется Apache с FPM, CGI или IIS, вам необходимо установить
cgi.fix_pathinfo to 1. Дополнительная информация в примечаниях к установочному документу.
• модуль curl : этот модуль необходим для аутентификации SAML.
• модуль даты : этот модуль является обязательным и должно быть установлено следующее значение: date.timezone . Подробнее здесь: Журнал: часовой пояс.
• модуль фильтра : этот модуль требуется и обычно устанавливается по умолчанию, но в некоторых системах он отсутствует. Если это так, вам необходимо установить его вручную. Дополнительная информация: https://www.php.net/manual/en/book.filter.php.
• gd модуль : этот модуль требуется только в том случае, если вы хотите генерировать QR-коды для конфигурации 2FA (рекомендуется). Дополнительная информация: Двухфакторная аутентификация в Team Password Manager.
• хеш-модуль : это обязательный модуль, и требуется хэш-движок sha256.
• Модуль ionCube Loader : начиная с версии 10.3.5 загрузчика Ioncube, загрузчик Ioncube имеет собственный раздел в phpinfo. Ioncube Loader необходим для запуска Team Password Manager. Для более ранних версий установите флажок Zend Engine, чтобы узнать, установлен ли он, и его версию. Более подробная информация здесь: https://www.ioncube.com/loaders.php. Обратите внимание, что начиная с версии 11 Team Password Manager вместо загрузчика Ioncube требуется загрузчик SourceGuardian.
• модуль json : этот модуль является обязательным и обычно устанавливается по умолчанию, но некоторые системы не включают его. Если это так, вам необходимо установить его вручную. Дополнительная информация: https://www.php.net/manual/en/book.json.php

.

• модуль ldap : этот модуль требуется, если вы хотите использовать аутентификацию LDAP. Дополнительная информация: Аутентификация LDAP в Team Password Manager.
• Модуль mbstring : этот модуль обязателен.
• Модуль mcrypt : требуется только для версий Team Password Manager ниже 7.84.198.
• модуль mysqli : этот модуль необходим. Это тот, который позволяет PHP подключаться к MySQL.
• модуль openssl : этот модуль требуется для LDAP с аутентификацией TLS/SSL или SAML.
• модуль сеанса : этот модуль отвечает за пользовательские сеансы и является обязательным. Вот некоторые из его соответствующих настроек:
  • session.save_handler : где PHP хранит сессии. Для Team Password Manager это должны быть «файлы».
  • session_save_path : это папка на сервере, где хранятся файлы сеанса.
  • session.gc_maxlifetime : этот параметр влияет на время ожидания сеанса. Более подробная информация здесь: Тайм-аут и автоматический выход из системы.
  • session.cookie_lifetime : этот параметр влияет на время ожидания сеанса. Более подробная информация здесь: Тайм-аут и автоматический выход из системы.
• SourceGuardian : для Team Password Manager v. 11+ требуется загрузчик SourceGuardian (версия 13+) вместо загрузчика Ioncube.
• Xdebug : это расширение должно быть отключено для Team Password Manager v. 11+.
• xml : этот модуль необходим для аутентификации SAML.
• Модуль zLib : этот модуль необходим для аутентификации SAML.

Как изменить значение параметра PHP

Чтобы изменить значение параметра PHP, вам необходимо отредактировать основной файл конфигурации PHP. Этот файл представляет собой текстовый файл, который обычно называется php.ini , и вы можете найти его точное местоположение, просмотрев запись Loaded Configuration File вывода phpinfo. Если вы измените значение в php.ini, вам необходимо перезапустить веб-сервер или FPM, чтобы новое значение вступило в силу . Вы можете проверить новое значение, перезагрузив вывод phpinfo.

В некоторых системах также есть другие файлы конфигурации (.ini), которые вы можете найти, просмотрев следующие записи phpinfo: Сканировать этот каталог на наличие дополнительных файлов .ini и Проанализированы дополнительные файлы .ini . Эти файлы содержат настройки для конкретных модулей, поэтому если вам нужно изменить значение в одном из них, вы должны изменить его в этих файлах, а не в основном файле php.ini.

Журнал изменений документа

phpinfo() WP — Плагин WordPress

• Детали
• отзывов
• Монтаж
• Разработка

Опора

Простой плагин WordPress для поиска информации о сервере и конфигурации PHP и управления конфигурациями сервера.

Этот плагин предоставляет большое количество информации о текущем состоянии PHP. Сюда входит информация об опциях и расширениях компиляции PHP, версии PHP, информации о сервере и среде (если компилируется как модуль), среде PHP, информации о версии ОС, путях, основных и локальных значениях параметров конфигурации, заголовках HTTP. Для краткости информации лицензия PHP удалена.

С помощью этого плагина вы можете увидеть, какие расширения включены на вашем сервере. Кроме этого, вы можете редактировать или устанавливать значения конфигурации сервера, такие как max_file_uploads, upload_max_filesize и т. д. Вы можете легко редактировать или устанавливать любые значения директив с помощью этого плагина.

Обновления

Добавлена ​​возможность поиска некоторой базовой информации, такой как размер корневого каталога, количество активированных и установленных плагинов, размер каталога мультимедиа и т. д.

• Информация о PHP
• Расширения
• Доступ к гипертексту
• Основная информация
• Журнал

Вы можете загрузить и загрузить плагин через Администрирование > Плагины > Добавить новый > Загрузить плагин. Или
Перейдите в панель администратора вашего сайта. Выберите Плагины > Добавить новый. поиск phpinfo() WP Имрана Хоссейна Сагора. Нажмите кнопку Установить сейчас . Затем просто нажмите Active .

Каковы требования для активации этого подключаемого модуля?

Ничего не нужно. Но иногда хостинг-провайдеры отключают настройку сервера. В этом случае вам необходимо связаться с вашим хостинг-провайдером
См. Скриншот №1. Убедитесь, что корневой каталог сайта доступен для записи, чтобы установить или изменить значения директив конфигурации сервера.

Почему мой сайт показывает внутреннюю ошибку сервера 500 после редактирования файла .htaccess?

Расслабьтесь, ничего не произошло. Функция безопасного редактирования для редактирования файла .htaccess была добавлена ​​с версии 2.0. Если вы используете более старую версию, чем 2.0. Не волнуйся. Войдите на свой хостинг. Перейдите в файловый менеджер. Отредактируйте файл .htaccess, который находится в корневой папке каталога вашего сайта. Удалите код, который неисправен. Сохраните и сайт будет в порядке.

Нет отзывов об этом плагине.

«phpinfo() WP» — это программное обеспечение с открытым исходным кодом. Следующие люди внесли свой вклад в этот плагин.

Авторы

• Exeebit

4.0

Исправлена ​​проблема зависания

3.0

Добавлена ​​возможность поиска основной информации
Исправлены ошибки PHP

2.2.3

Исправлены ошибки JS
Исправлены основные ошибки PHP

2.2.2

Безопасное редактирование файла htaccess
Исправлены незначительные ошибки CSS
Исправлены незначительные ошибки PHP

2.2.1

Исправлены ошибки PHP
Исправлены ошибки CSS

2.2

9000 2 Исправлены проблемы с редактором
Добавлена ​​вкладка журнала
Исправлены проблемы с JS
Исправлены проблемы, связанные с внешним видом страницы

2.