//www.0php.com/php_easter_egg.php Nội phân Chính showShowTóm tắt
Cấu hình của PHP trên máy chủ từ xa cho phép tiết lộ thông tin nhạy cảm.Sự mô tả
Cài đặt PHP trên máy chủ từ xa được cấu hình theo cách cho phép tiết lộ thông tin có khả năng nhạy cảm với kẻ tấn công thông qua URL đặc biệt. Một URL như vậy kích hoạt một quả trứng Phục sinh được tích hợp trong chính PHP. Những quả trứng Phục sinh khác có thể tồn tại, nhưng Nessus đã không kiểm tra chúng.
Other such Easter eggs likely exist, but Nessus has not checked
for them.Dung dịch
Trong tệp cấu hình PHP, php.ini, đặt giá trị cho 'expose_php' thành 'off' để vô hiệu hóa hành vi này. Khởi động lại trình nền máy chủ web để đưa sự thay đổi này có hiệu lực.Xem thêm
Nội phân chính
- Thông tin quan trọng về vấn đề này
- Tên dễ bị tổn thương:
- Tiết lộ thông tin Php Expose_PhP
- Quét và tìm các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
- Kiểm tra thâm nhập [Pentest] cho lỗ hổng này
- Cập nhật bảo mật về các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
- Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP
- Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP
- Dương tính giả/tiêu cực
- Vá/sửa chữa lỗ hổng này
- Khai thác liên quan đến các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
//seclists.org/webappsec/2004/q4/324
Nội phân chính
Tiết lộ liên quan đến lỗ hổng nàyMedium
Chi tiết plugin46803
Mức độ nghiêm trọng: Trung bìnhphp_expose_php.nasl
ID: 468031.8
Tên tệp: PHP_EXPose_PHP.NASLremote
Phiên bản: 1.86/3/2010
Loại: từ xa4/11/2022
Xuất bản: 6/3/2010Enable thorough checks
Cập nhật: 4/11/2022
Cấu hình: Bật kiểm tra kỹ lưỡngThông tin rủi roMedium
CVSS v25
Yếu tố rủi ro: Trung bìnhAV:N/AC:L/Au:N/C:P/I:N/A:N
Điểm cơ sở: 5
Vector: AV: N/AC: L/AU: N/C: P/I: N/A: Ncpe:/a:php:php
Thông tin dễ bị tổn thươngwww/PHP
CPE: CPE:/A: PHP: PHPSettings/disable_cgi_scanning
Các mục KB bắt buộc: www/PHPtrue
Các mục KB bị loại trừ: Cài đặt/vô hiệu hóa_cgi_scanning11/28/2004
Được khai thác bởi Nessus: Đúng
- Ngày xuất bản lỗ hổng: 28/11/2004
- Quét và tìm các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
- Kiểm tra thâm nhập [Pentest] cho lỗ hổng này
- Cập nhật bảo mật về các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
- Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP
- Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP
- Dương tính giả/tiêu cực
- Vá/sửa chữa lỗ hổng này
- Khai thác liên quan đến các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
Thông tin quan trọng về vấn đề này
Tên dễ bị tổn thương:
Quét và tìm các lỗ hổng trong tiết lộ thông tin Php Expose_PhP | 12465 |
Kiểm tra thâm nhập [Pentest] cho lỗ hổng này | Cập nhật bảo mật về các lỗ hổng trong tiết lộ thông tin Php Expose_PhP |
Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP | Dương tính giả/tiêu cực |
Vá/sửa chữa lỗ hổng này | Khai thác liên quan đến các lỗ hổng trong tiết lộ thông tin Php Expose_PhP |
Nội phân chính | Tiết lộ liên quan đến lỗ hổng này |
Chi tiết plugin | Mức độ nghiêm trọng: Trung bình |
ID: 46803 | Tên tệp: PHP_EXPose_PHP.NASL |
Phiên bản: 1.8 | Loại: từ xa |
Xuất bản: 6/3/2010 | Cập nhật: 4/11/2022 |
Cấu hình: Bật kiểm tra kỹ lưỡng | Loại: từ xa |
Xuất bản: 6/3/2010 | Loại: từ xa |
Quét và tìm các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
Kiểm tra thâm nhập [Pentest] cho lỗ hổng này
Kiểm tra thâm nhập [Pentest] cho lỗ hổng này
Các lỗ hổng trong tiết lộ thông tin Php Expose_PhP dễ bị báo cáo dương tính bằng các giải pháp đánh giá lỗ hổng. AVDS một mình trong việc sử dụng thử nghiệm dựa trên hành vi giúp loại bỏ vấn đề này. Đối với tất cả các công cụ VA khác, các chuyên gia tư vấn bảo mật sẽ đề xuất xác nhận bằng cách quan sát trực tiếp. Trong mọi trường hợp, các quy trình kiểm tra thâm nhập để phát hiện các lỗ hổng trong công bố thông tin Php Expose_PhP tạo ra tỷ lệ chính xác khám phá cao nhất, nhưng sự không thường xuyên của hình thức thử nghiệm đắt tiền này làm giảm giá trị của nó. Lý tưởng sẽ là có độ chính xác của Pentesting và khả năng tần số và phạm vi của các giải pháp VA, và điều này chỉ được thực hiện bởi AVD.
Cập nhật bảo mật về các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
Cho rằng đây là một trong những lỗ hổng thường được tìm thấy nhất, có nhiều thông tin liên quan đến giảm thiểu trực tuyến và lý do rất chính đáng để sửa nó. Tin tặc cũng nhận thức được rằng đây là một lỗ hổng thường xuyên được tìm thấy và vì vậy khám phá và sửa chữa của nó là quan trọng hơn nhiều. Nó được biết đến và phổ biến đến mức bất kỳ mạng nào có hiện diện và không được thừa nhận cho thấy trái cây treo thấp cho những kẻ tấn công.
Xác nhận sự hiện diện của các lỗ hổng trong tiết lộ thông tin PhP
AVDS hiện đang thử nghiệm và tìm thấy lỗ hổng này bằng không dương tính giả. Nếu bộ công cụ hiện tại của bạn chỉ ra rằng nó có mặt nhưng bạn nghĩ rằng nó có thể là một tích cực giả, vui lòng liên hệ với chúng tôi để trình diễn AVDS. & NBSP;
Dương tính giả/tiêu cực
Kẻ giết người bí mật của giá trị giải pháp VA là dương tính giả. Có một cuộc đua rộng lớn trong ngành để tìm ra các lỗ hổng nhất, bao gồm các lỗ hổng trong tiết lộ thông tin Php Expose_PhP và điều này mang lại lợi ích cho các bài kiểm tra viết kém nhằm tăng cường các báo cáo quét bằng cách thêm tỷ lệ không chắc chắn cao. Điều này có thể đã bán được rất nhiều hệ thống vài năm trước, nhưng nó cũng bị mắc kẹt gần như tất cả các giải pháp VA với báo cáo có chủ ý không chính xác thêm thời gian để sửa chữa mà không quản trị viên nào có thể mua được. Ngoài an ninh đã không tham gia vào cuộc đua này để đảm bảo sự phá hủy của ngành công nghiệp và cho đến ngày nay tạo ra các báo cáo chính xác và có thể hành động nhất hiện có.
Vá/sửa chữa lỗ hổng này
Các lỗ hổng trong tiết lộ thông tin Php Expose_PhP là một lỗ hổng rủi ro trung bình cũng có tần suất cao và khả năng hiển thị cao. Đây là sự kết hợp nghiêm trọng nhất của các yếu tố bảo mật tồn tại và điều cực kỳ quan trọng là tìm thấy nó trên mạng của bạn và sửa nó càng sớm càng tốt.
Khai thác liên quan đến các lỗ hổng trong tiết lộ thông tin Php Expose_PhP
//www.securityfocus.com/bid/53388/exploit