|
Título: Cambiar extensión script PHP Publicado por: madpitbull_99 en 4 Mayo 2011, 23:11 pm Cambiar extensión script PHP
Por motivos de seguridad nos puede interesar cambiar la extensión de nuestras aplicaciones en PHP, no conseguiríamos gran cosas, pero podría desorientar al atacante. Cuando se trata de aplicaciones donde la seguridad es fundamental cualquier pequeño detalle ayudará. En el fichero de configuración del intérprete php.ini podemos configurar la directiva expose_php = off , con esta directiva desactivada se reduce el número de información mostrada en caso de errores o advertencias(warnings). Apache con la ayuda de los ficheros .htaccess nos permite cambiar la extensión utilizada para los scripts PHP. Creamos un fichero .htaccess dentro del directorio de nuestra aplicación con el siguiente contenido: Código: #Así parecerá que utilizamos otro lenguaje Ahora si creamos un fichero con las extensiones arriba indicadas, Apache las interpretará como si se tratara de una aplicación en PHP. Podemos hacer un típico Hello World para probar: Código
Con las extensiones que hemos configurado en el .htaccess. (http://madzone.comoj.com/image_host/images/captureie.png) Al ejecutar cualquier de los archivos de arriba Apache interpretará el código como si fuera PHP, sin importar la extensión. Hay que tener cuidado, si tenemos documentos HTML es posible que no queramos que se ejecuten como scripts PHP. También podemos jugar con las cabeceras, para que parezca que utilizamos otro lenguaje: Código
He subido a un hosting todos los ficheros junto con el .htaccess por si alguien quiere probarlo. Enlace| MultiUpload (http://www.multiupload.com/P4DO7D6BSL) Título: Re: Cambiar extensión script PHP Publicado por: Nakp en 5 Mayo 2011, 01:13 am jajajajaja no creo que alguien quisiera mostrar "powered by asp.net" siendo proudly PHP! xD
muy buenos tus articulos :o en serio xD deberiamos hacer un recopilatorio en el foro, o aun mas facil, un link a tu blog x'D Título: Re: Cambiar extensión script PHP Publicado por: [u]nsigned en 11 Mayo 2011, 18:29 pm Seguridad por ofuscación!
Hay que tener cuidado con las extensiones, a veces agregar las extensiones .html (por ejemplo) puede recargar al interprete de PHP, debido a que tratará de interpretar todos los archivos de este tipo. Lo mejor es usar una extension arbitraria. Otro truco que funciona es por ejemplo llamar al archivo file1.php como file1.html.php. Generalmente en los servidores LAMP tienen prioridad los archivos PHP antes que cualquier otro. Asi si llamamos a file1.html estaremos llamando a file1.html.php Saludos!! |