Autor
|
Tema: Archivo phpinfo (Leído 4,979 veces)
|
fabiru23
Desconectado
Mensajes: 15
|
Hola a todos!
Tengo una duda, si en un servidor me encuentro un archivo phpinfo.php puedo saber las vulnerabilidades de este sitio?
Podría hacer alguna inyección de código o algo así?
Aclaro no quiero hacer ninguna maldad, solo es porque me encontre con un post que dice que este archivo da mucha información que pone en riego la seguridad del sitio.
Gracias por sus comentarios.
|
|
|
En línea
|
|
|
|
Xyzed
Desconectado
Mensajes: 307
|
Hola. Así es, es algo peligroso que todos puedan ver dicho archivo. Contiene información sobre la versión de php y el servidor, los cuales pueden tener vulnerabilidades y ser explotadas. Cita: https://www.acunetix.com/Incluye información sobre las opciones y extensiones de compilación de PHP, la versión de PHP, la información del servidor y el entorno (si se compila como un módulo), el entorno de PHP, información de la versión del sistema operativo, rutas, valores maestros y locales de las opciones de configuración, encabezados HTTP y PHP. Licencia.
Igualmente, siempre que utilices el código de phpinfo te recomiendo hacerlo en un directorio oculto, ponerle contraseña o algún medio de seguridad mediante el cual solo tu puedas verlo. Y siempre intenta darle un único uso y borrarlo. Es como el repair settings de smf, no sé si te ubicas. Un archivo que debe ser borrado una vez terminada su utilización. Saludos.
|
|
|
En línea
|
|
|
|
el-brujo
|
un archivo phpinfo.php o el nombre que sea me imagino que es simplemente una llamada a la función phpinfo() de php
Simplemente muestra mucha y valiosa información "sensible" (rutas del sistema, paths, versiones del sistmea operativo, versiones instaladas, módulos, capacidades del sistema, funciones deshabilitdas etc, etc) pero no es potencialmente vulnerable.
|
|
|
En línea
|
|
|
|
fabiru23
Desconectado
Mensajes: 15
|
Gracias por la información.
Con la info que tiene este archivo o función phpinfo(); podría tener acceso de alguna manera al servidor por medio de terminal o ftp o podria descargar archivos de ese servidor?
Me podrían dar un norte para investigar si se podría hacer esto? No se por donde irme o mas bien encontre el archivo pero no tengo idea con esta info que arroja como o que le podría pasar a mi servidor.
Gracias de nuevo.
|
|
|
En línea
|
|
|
|
Xyzed
Desconectado
Mensajes: 307
|
Gracias por la información.
Con la info que tiene este archivo o función phpinfo(); podría tener acceso de alguna manera al servidor por medio de terminal o ftp o podria descargar archivos de ese servidor?
No, como bien te dijo @el-brujo y te comente arriba, la existencia del archivo es un riesgo, pero no es algo potencialmente vulnerable. Podrías utilizar la información que te da el archivo e investigar que podrías hacer con esa data. Saludos.
|
|
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.838
🔵🔵🔵🔵🔵🔵🔵
|
Hola, como dijeron los compañeros, la función phpinfo() muestra cuantiosa información del servidor web, pero no es que sea una vulnerabilidad en si, sinó que es una función que brinda muchos datos que solo debería ser visible para el dueño/administrador del sitio y no de acceso público. Suele pasar que algunas veces algunos administradores se olvidan de borrar el archivo que utiliza la función phpinfo();. Es como el repair settings de smf, no sé si te ubicas. Un archivo que debe ser borrado una vez terminada su utilización.
El archivo repair_settings.php no es de instalación, es una herramienta para corregir rutas del foro, el archivo para la instalación de SMF es install.php. En cuánto a ser peligroso el repair_settings.php, si, es potencialmente peligroso y altamente vulnerable dejar ese archivo en el servidor, ya que por ejemplo muestra datos de la base de datos del foro entre otros datos importantes, pero éste archivo al menos cuando está públicamente en el servidor, te muestra una advertencia que tienes que eliminar ese archivo para que si o si veas esa advertencia y no se te pase por alto ya que el sitio estaría en riesgo mientras exista ese archivo. Saludos
|
|
|
En línea
|
|
|
|
Xyzed
Desconectado
Mensajes: 307
|
El archivo repair_settings.php no es de instalación, es una herramienta para corregir rutas del foro, el archivo para la instalación de SMF es install.php.
Hola @[D]aniel. Es como bien dices, un archivo para corregir rutas. Me refería a que tiene similitud el archivo de phpinfo con el repair_settings debido a que ambos deberían ser borrados luego de su utilización. Saludos.
|
|
|
En línea
|
|
|
|
fabiru23
Desconectado
Mensajes: 15
|
Muchas gracias a todos por la información!
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
PHPINFO y DISABLE_FUNCTION
PHP
|
DdarkAngell
|
0
|
2,605
|
18 Septiembre 2006, 20:50 pm
por DdarkAngell
|
|
|
[Bash] detectar tamaño de archivo base a archivo creado [DUDA]
Scripting
|
KZN
|
0
|
3,072
|
26 Mayo 2015, 21:59 pm
por KZN
|
|
|
[Ayuda] Comando phpinfo(); no muestra nada solo pagina en blanco
PHP
|
Flamer
|
9
|
8,493
|
15 Marzo 2016, 19:21 pm
por Flamer
|
|
|
Análisis archivo phpinfo publico - Universidad Zaragoza
Bugs y Exploits
|
rebelteam
|
0
|
2,529
|
5 Septiembre 2018, 13:11 pm
por rebelteam
|
|
|
Validar si un archivo subo el md5 esta repetido en otro archivo subido (DB)
PHP
|
Drakaris
|
1
|
3,771
|
11 Noviembre 2018, 18:53 pm
por #!drvy
|
|