Forum und email

Ascunderea PHP-ului

In general, securitatea prin obscuritate este una dintre cele mai slabe metode de aplicare a securitatii aplicatiilor. Dar in unele cazuri este necesara implementarea unei asemenea metode.

Cateva tehnici simple prin care se poate ascunde PHP, posibil sa incetineasca un atacator incercand sa scaneze serverul pentru vulnerabilitati, este setarea expose_php = off din php.ini , prin care se reduce cantitatea de informatii trimisa de server.

Alta tactica este configurarea serverelor web ca apache sa parseze diferite tipuri de fisiere prin PHP, ori printr-o directiva .htaccess , ori printr-o configuratie apache directa. Puteti folosi extensii de fisiere care sa induca in eroare:

Example#1 Ascunderea PHP-ului ca alt limbaj de scripting

# Face codul PHP sa arate ca alte limbaje de programare web
AddType application/x-httpd-php .asp .py .pl
Sau ascunderea lui completa:

Example#2 Folosirea extensiilor PHP necunoscute

# Face codul PHP sa aiba extensii ciudate
AddType application/x-httpd-php .bop .foo .133t
Se poate de asemenea deghizarea drept cod HTML, dar acest lucru are un impact minor asupra vitezei de rulare, pentru ca tot codul html va fi procesat de motorul PHP:

Example#3 Folosirea tipurilor HTML pentru extensiile PHP

# Face codul PHP sa arate ca HTML
AddType application/x-httpd-php .htm .html
Pentru ca aceasta modificare sa functioneze eficient, trebuie sa redenumiti toate fisierele PHP cu extensiile de mai sus. Aceasta metoda reprezinta aplicarea securitatii prin obscuritate si reprezinta o metoda minora de securitate cu impact la fel de mic asupra vitezei de procesare a scripturilor.