Aller au contenu
Bientot le SIte Couillaman.VIP ×
Vie du geek le forum entre geek

Inscrivez-vous maintenant pour accéder à toutes nos fonctionnalités. Une fois inscrit et connecté, vous pourrez créer des sujets, publier des réponses aux discussions existantes, donner de la réputation à vos collègues, obtenir votre propre messager privé, publier des mises à jour de statut, gérer votre profil et bien plus encore. Si vous avez déjà un compte, connectez-vous ICI autrement Inscription un compte gratuit aujourd'hui!

Phobos

Cacher PHP pour éviter une attaque

Messages recommandés

En général, la sécurité par l'obscurité est une des formes les plus faibles de la sécurité. Mais dans certains cas, chaque petit peu de sécurité supplémentaire est souhaitable.

Quelques techniques simples permettent de masquer PHP, éventuellement ralentir un attaquant qui tente de découvrir les faiblesses de votre système. En fixant expose_php à désactivé dans votre fichier php.ini, vous réduisez la quantité d'informations à leur disposition.

Une autre tactique consiste à configurer les serveurs Web comme Apache pour analyser différents types de fichiers par PHP, soit avec une directive de .htaccess, ou dans le fichier de configuration d'Apache lui-même. Vous pouvez ensuite utiliser les extensions de fichier trompeuses :

 

Masquer PHP avec une autre langue :

# Assurez vous que le code PHP ressemble autres types de codes
AddType application/x-httpd-php .asp .py .pl

Ou obscurcir complètement :

 

Avec des types inconnus pour les extensions PHP
 
# Assurez vous que le code PHP ressemble à des types inconnus
AddType application/x-httpd-php .bop .foo .133t

Où cacher le code HTML, qui a une légère baisse de performance parce que tout HTML sera analysé par le moteur PHP :

 

Utilisation des types de html pour les extensions PHP

# Faire tout le code PHP afin qu'il ressemble à HTML
AddType application/x-httpd-php .htm .html

Pour que cela fonctionne efficacement, vous devez renommer vos fichiers PHP avec les extensions ci-dessus.

 

il est une forme de sécurité par l'obscurité, c'est une mesure de prévention mineure, avec quelques inconvénients.

 

Autre Solution avec Apache :

httpd.conf
-------------
# ...
# Réduire informations d'en-tête 'Serveur'
ServerTokens Prod
# Signature du serveur Désactiver sur les pages générées par le serveur
ServerSignature Off
# ...
# Définition du type de fichier par défaut de PHP
Demande DefaultType / x-httpd-php
# ...

php.ini
------------
; ...
expose_php = Off
; ...

Les URL vont maintenant ressembler à ceci :
http://my.server.com/forums/post?forumid=15

Maintenant, le pirate sait seulement que vous utilisez Apache.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×
×
  • Créer...