摘要:文章轉(zhuǎn)自背景在安全測(cè)試中最單調(diào)乏味的任務(wù)之一就是檢查不安全的配置項(xiàng)。在下文中,該腳本被稱(chēng)作安全配置項(xiàng)檢查器,或者。保障措施大多數(shù)情況下,最好是自己來(lái)關(guān)注與安全性相關(guān)的問(wèn)題比如的配置。腳本已實(shí)現(xiàn)下列保障措施檢查腳本在非環(huán)境中只能工作兩天。
文章轉(zhuǎn)自:https://learnku.com/php/t/27016背景
在 PHP 安全測(cè)試中最單調(diào)乏味的任務(wù)之一就是檢查不安全的 PHP 配置項(xiàng)。作為一名 PHP 安全海報(bào)的繼承者,我們創(chuàng)建了一個(gè)腳本用來(lái)幫助系統(tǒng)管理員如同安全專(zhuān)家一樣盡可能快速且全面地評(píng)估 php.ini 和相關(guān)主題的狀態(tài)。在下文中,該腳本被稱(chēng)作“PHP 安全配置項(xiàng)檢查器”,或者 pcc。
https://github.com/sektionein...概念
一個(gè)便于分發(fā)的單文件
有對(duì)每個(gè)安全相關(guān)的 ini 條目的簡(jiǎn)單測(cè)試
包含一些其他測(cè)試 - 但不太復(fù)雜
兼容 PHP >= 5.4, 或者 >= 5.0
沒(méi)有復(fù)雜/過(guò)度設(shè)計(jì)的代碼,例如沒(méi)有類(lèi)/接口,測(cè)試框架,類(lèi)庫(kù)等等。它應(yīng)該第一眼看上去是顯而易見(jiàn)的-甚至對(duì)于新手-這個(gè)工具怎么使用能用來(lái)做什么。
沒(méi)有(或者少量的)依賴(lài)
使用 / 安裝CLI:簡(jiǎn)單調(diào)用?php phpconfigcheck.php。然后,添加參數(shù)?-a?以便更好的查看隱藏結(jié)果,?-h?以 HTML 格式輸出,?-j?以 JSON 格式輸出.
WEB: 復(fù)制這個(gè)腳本文件到你的服務(wù)器上的任意一個(gè)可訪(fǎng)問(wèn)目錄,比如 root 目錄。參見(jiàn)下面的“防護(hù)措施”。
在非 CLI 模式下默認(rèn)輸出 HTML 格式??梢酝ㄟ^(guò)修改設(shè)置環(huán)境變量PCC_OUTPUT_TYPE=text?或者?PCC_OUTPUT_TYPE=json改變這個(gè)行為。
一些測(cè)試用例默認(rèn)是被隱藏的,特別是skipped、ok和 unknown/untested這些。要顯示全部結(jié)果,可以用?phpconfigcheck.php?showall=1,但這并不適用于 JSON 輸出,它默認(rèn)返回全部結(jié)果。
在 WEB 模式下控制輸出格式用?phpconfigcheck.php?format=...,?format的值可以是?text,?html?或者?json中的一個(gè),例如:?phpconfigcheck.php?format=text。?format?參數(shù)優(yōu)先于 PCC_OUTPUT_TYPE。
大多數(shù)情況下,最好是自己來(lái)關(guān)注與安全性相關(guān)的問(wèn)題比如PHP的配置。腳本已實(shí)現(xiàn)下列保障措施:
mtime檢查:腳本在非CLI環(huán)境中只能工作兩天。可以通過(guò)touch phpconfigcheck.php或者將腳本文件再次復(fù)制到你的服務(wù)器(例如通過(guò)SCP)來(lái)重新進(jìn)行mtime檢查??梢酝ㄟ^(guò)設(shè)置環(huán)境量:?PCC_DISABLE_MTIME=1,比如在apache的.htaccess文件中設(shè)置SetEnv PCC_DISABLE_MTIME 1來(lái)禁用mtime檢查。
來(lái)源IP檢查:默認(rèn)情況下,只有l(wèi)ocalhost (127.0.0.1 和 ::1)才能訪(fǎng)問(wèn)這個(gè)腳本。其他主機(jī)可以通過(guò)在PCC_ALLOW_IP中添加IP地址或者通配符表達(dá)式的方式來(lái)訪(fǎng)問(wèn)腳本,比如在.htaccess文件中設(shè)置SetEnv PCC_ALLOW_IP 10.0.0.*。你還可以選擇通過(guò)SSH端口轉(zhuǎn)發(fā)訪(fǎng)問(wèn)您的web服務(wù)器, 比如?ssh -D?或者?ssh -L。
下載可以通過(guò)github下載第一個(gè)完整的開(kāi)發(fā)版:?https://github.com/sektionein...
如果有好的建議或者遇到bug請(qǐng)給我們提issue:
截圖HTML輸出的列表是根據(jù)問(wèn)題嚴(yán)重性排序的,通過(guò)顏色代碼的形式列出了所有建議。列表頂部的狀態(tài)行會(huì)顯示問(wèn)題的數(shù)量。
注意這個(gè)工具只能用來(lái)支持你搭建一個(gè)安全的PHP環(huán)境,做不了其他事。你的設(shè)置、軟件或任何相關(guān)的配置可能仍然是脆弱的,即使該工具的輸出表明情況并非如此。
文章轉(zhuǎn)自:https://learnku.com/php/t/27016
更多文章:https://learnku.com/laravel/c...
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/31269.html
摘要:安全生成安全的隨機(jī)數(shù),加密數(shù)據(jù),掃描漏洞的庫(kù)一個(gè)兼容標(biāo)準(zhǔn)的過(guò)濾器一個(gè)生成隨機(jī)數(shù)和字符串的庫(kù)使用生成隨機(jī)數(shù)的庫(kù)一個(gè)安全庫(kù)一個(gè)純安全通信庫(kù)一個(gè)簡(jiǎn)單的鍵值加密存儲(chǔ)庫(kù)一個(gè)結(jié)構(gòu)化的安全層一個(gè)試驗(yàn)的面向?qū)ο蟮陌b庫(kù)一個(gè)掃描文件安全的庫(kù) Security 安全 生成安全的隨機(jī)數(shù),加密數(shù)據(jù),掃描漏洞的庫(kù) HTML Purifier-一個(gè)兼容標(biāo)準(zhǔn)的HTML過(guò)濾器 RandomLib-一個(gè)生成隨機(jī)數(shù)和字...
摘要:安全生成安全的隨機(jī)數(shù),加密數(shù)據(jù),掃描漏洞的庫(kù)一個(gè)兼容標(biāo)準(zhǔn)的過(guò)濾器一個(gè)生成隨機(jī)數(shù)和字符串的庫(kù)使用生成隨機(jī)數(shù)的庫(kù)一個(gè)安全庫(kù)一個(gè)純安全通信庫(kù)一個(gè)簡(jiǎn)單的鍵值加密存儲(chǔ)庫(kù)一個(gè)結(jié)構(gòu)化的安全層一個(gè)試驗(yàn)的面向?qū)ο蟮陌b庫(kù)一個(gè)掃描文件安全的庫(kù) Security 安全 生成安全的隨機(jī)數(shù),加密數(shù)據(jù),掃描漏洞的庫(kù) HTML Purifier-一個(gè)兼容標(biāo)準(zhǔn)的HTML過(guò)濾器 RandomLib-一個(gè)生成隨機(jī)數(shù)和字...
閱讀 811·2023-04-25 20:18
閱讀 2092·2021-11-22 13:54
閱讀 2527·2021-09-26 09:55
閱讀 3857·2021-09-22 15:28
閱讀 2969·2021-09-03 10:34
閱讀 1710·2021-07-28 00:15
閱讀 1629·2019-08-30 14:25
閱讀 1281·2019-08-29 17:16