phpinfo()

Um ‚Information Disclosures‘ vorzubeugen sollte so wenig wie möglich über die Serverumgebung bekannt gegeben werden – insbesondere öffentlich phpinfo() Skripte sollten vermieden werden.

Die Funktion phpinfo() gibt viele Informationen über den benutzten Webserver und die PHP Installation zurück. Wenn man wie bei der twosteps GmbH die Ausführung dieses Befehls verhindert, erschwert man es eventuellen Angreifern herauszufinden, welche Sicherheitslücken existieren könnten.

Manche werden dies als „security by obscurity“ abtun.
Die Erfahrungen, die wir auch bei der Wartung und dem Rescue bei Kollegen gemacht haben sprechen eine deutliche Sprache.

Related Articles