La mascotte BSD dessinée par Tatsumi Hosokawa
  Chuck's corner (intitulé du site)

Accueil
  Bienvenue !
  Who's that Chuck ?

Articles
  Investigation numérique
  Virtual-to-Remote-Physical
  Prométhée, intranet éduc.
  Frenzy, mini CD live
  Sécu. Open/Closed Source
  Installer FreeBSD 5
  Powered by Unknown !
    FreeBSD / Nmap (1/2)
    FreeBSD / Nmap (2/2)
    telnetd
    ftpd
    Apache
    Bind
    Lukemftpd
    OpenSSH
    PHP
    Qpopper
    Sendmail
    Sendmail / Smtpscan
    Sendmail / Smtpmap


  En cours d'élaboration :
  Analyseurs d'empreintes

Logiciels
  Portages
  Projet HeV

Liens
  Sites BSD en français
  Liste systèmes BSD
  Projets à l'honneur

Recherche
  avec Logo Google

  sur le site :
  
  sur BSD en général :
  

Powered by Unknown !

PHP

Les applications PHP affichent spontanément certaines informations sensibles :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:26:44 GMT
Server: Apache/1.3.26 (Unix) PHP/4.2.3
X-Powered-By: PHP/4.2.3
Connection: close
Content-Type: text/html

[... page Web ...]

Ces affichages peuvent-être débrayés en modifiant la valeur par défaut de la directive expose_php de "On" à "Off" dans le fichier de configuration de PHP (généralement dans /usr/local/lib/php.ini). Le serveur se comporte alors comme suit :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:29:22 GMT
Server: Apache/1.3.26 (Unix)
Connection: close
Content-Type: text/html

[... page Web ...]

Les dernières traces peuvent être éliminées en appliquant le patch proposé dans l'article sur Apache :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:34:00 GMT
Server: Unknown
Connection: close
Content-Type: text/html

[... page Web ...]

Pour être complet, il faut également dans le fichier de configuration de PHP :

  • Modifier le nom du cookie de session par défaut ("PHPSESSID") dans la directive session.name, par exemple en "SID" ;
  • Modifier la valeur de la directive display_errors à "Off" ;
  • Vérifier que la directive display_startup_errors est toujours positionnée à "Off".

Et dans le fichier de configuration d'Apache :

Ce dernier point est cependant bien détaillé dans la documentation de PHP.

Derniers avertissements

Le cas échéant, n'oubliez pas d'enlever ce genre de choses sur les pages du serveur Web :

Logo PHP ou Logo Zend

Prenez garde également aux fuites d'informations liées à l'utilisation des fonctions telles que phpinfo, phpversion, zend_version, php_sapi_name, php_uname, et, éventuellement, telles que phpcredits, php_logo_guid ou encore zend_logo_guid dans vos applications PHP.

Pour plus de tranquillité, vous pouvez désactiver ces fonctions à partir du fichier de configuration de PHP et de la directive disable_functions, comme dans l'exemple suivant :


disable_functions = phpinfo,phpversion,zend_version,php_sapi_name,php_uname

[ Drapeau anglais English version | Informations légales | Ours | Manifeste | Charte | Nous contacter | Commenter cette page ]
[ Anneau FreeBSD | Liste des sites | Aller à : 5 précédents - précédent - au hasard - suivant - 5 suivants ]