セキュリティ考察~PHPの罠①~


apacheの罠について述べましたが、

そういえばPHPにも忘れがちな設定がありますので、

今回はそれを紹介させていただきます。

php.iniには、

expose_php=on

という設定項目があります。

この状態でhttpヘッダをキャプチャしてみますと、

X-Powered-By: PHP/5.1.6

このように、PHPのバージョン情報を取得出来てしまいます。

「別にいいじゃないか」

と思われるかもしれませんが、

バージョン情報が露呈した場合、

そのバージョンに含まれるセキュリティホールをピンポイントで狙って

攻撃することが可能になってしまいます。

予防のためにも、この設定項目は、

expose_php=off

としましょう。

The following two tabs change content below.

ロゴスウェア

ロゴスウェア株式会社は、インターネットや情報技術を使って学習に革新的進化をもたらす製品を開発することを目標に、2001年7月に設立されたテクノロジー系ベンチャー企業です。

最新記事 by ロゴスウェア (全て見る)

Comments are closed.