The BSD mascot drawed by Tatsumi Hosokawa
  Chuck's corner (site title)

Home
  Welcome!
  Who's that Chuck? [FR]

Articles
  Computer forensics [FR]
  Virtual-to-Remote Physical [FR]
  Promethee, educ. intranet [FR]
  Frenzy, live mini CD [FR]
  Open/Closed source sec. [FR]
  Installing FreeBSD 5 [FR]
  Powered by Unknown! [FR]
    FreeBSD / Nmap (1/2) [FR]
    FreeBSD / Nmap (2/2) [FR]
    telnetd [FR]
    ftpd [FR]
    Apache [FR]
    Bind [FR]
    Lukemftpd [FR]
    OpenSSH [FR]
    PHP [FR]
    Qpopper [FR]
    Sendmail [FR]
    Sendmail / Smtpscan [FR]
    Sendmail / Smtpmap [FR]


  Work in progress:
  Fingerprints analyzers [FR]

Software
  Ports [FR]
  HeV project

Links
  BSD sites in french [FR]
  BSD systems list [FR]
  Projects of the month [FR]

Search
  with Google's logo

  on this site:
  
  on BSD contents:
  

Powered by Unknown !

PHP

Les applications PHP affichent spontanément certaines informations sensibles :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:26:44 GMT
Server: Apache/1.3.26 (Unix) PHP/4.2.3
X-Powered-By: PHP/4.2.3
Connection: close
Content-Type: text/html

[... page Web ...]

Ces affichages peuvent-être débrayés en modifiant la valeur par défaut de la directive expose_php de "On" à "Off" dans le fichier de configuration de PHP (généralement dans /usr/local/lib/php.ini). Le serveur se comporte alors comme suit :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:29:22 GMT
Server: Apache/1.3.26 (Unix)
Connection: close
Content-Type: text/html

[... page Web ...]

Les dernières traces peuvent être éliminées en appliquant le patch proposé dans l'article sur Apache :

# telnet localhost 80
GET /application.php HTTP/1.0

HTTP/1.1 200 OK
Date: Sun, 22 Sep 2002 12:34:00 GMT
Server: Unknown
Connection: close
Content-Type: text/html

[... page Web ...]

Pour être complet, il faut également dans le fichier de configuration de PHP :

  • Modifier le nom du cookie de session par défaut ("PHPSESSID") dans la directive session.name, par exemple en "SID" ;
  • Modifier la valeur de la directive display_errors à "Off" ;
  • Vérifier que la directive display_startup_errors est toujours positionnée à "Off".

Et dans le fichier de configuration d'Apache :

Ce dernier point est cependant bien détaillé dans la documentation de PHP.

Derniers avertissements

Le cas échéant, n'oubliez pas d'enlever ce genre de choses sur les pages du serveur Web :

Logo PHP ou Logo Zend

Prenez garde également aux fuites d'informations liées à l'utilisation des fonctions telles que phpinfo, phpversion, zend_version, php_sapi_name, php_uname, et, éventuellement, telles que phpcredits, php_logo_guid ou encore zend_logo_guid dans vos applications PHP.

Pour plus de tranquillité, vous pouvez désactiver ces fonctions à partir du fichier de configuration de PHP et de la directive disable_functions, comme dans l'exemple suivant :


disable_functions = phpinfo,phpversion,zend_version,php_sapi_name,php_uname

[ French flag Version française | Legal information [FR] | About us [FR] | Manifesto [FR] | Privacy & usage charter [FR] | Contact us | Comments on this page ]
[ FreeBSD ring | Sites list | Go to: previous 5 - previous one - random pick - next one - next 5 ]