概述
PHP是一个HTML嵌入式脚本语言。PHP包是通过一个叫phpinfo.php的CGI程序传输的。phpinfo.php对系统管理员来说是一个十分有用的工具。这个CGI在安装的时候被默认安装。但它也能被用来泄漏它所在服务器上的一些敏感信息。
详情
PHPInfo提供了以下一些信息:
*PHP 版本 (包括build版本在内的精确版本信息)
*系统版本信息(包括build版本在内的精确版本信息)
*扩展目录(PHP所在目录)
*SMTP服务器信息
*Sendmail路径(如果Sendmail安装了的话)
*Posix版本信息
*数据库
*ODBC 设置(包括的路径,数据库名,默认的密码等等)
*MySQL 客户端的版本信息(包括build版本在内的精确版本信息)
*Oracle版本信息和库的路径
*所在位置的实际路径
*Web 服务器
*IIS 版本信息
*Apache 版本信息
*如果在Win32下运行:
*计算机名
*Windows目录的位置
*路径(能用来泄漏已安装的软件信息)
例子:
访问一个类似于下面的URL:
http://www.example.com/PHP/phpinfo.php
会得到以上信息
解决方案:
删除这个讨厌的CGI, 应为它主要使用于调试目的, 不应放在实际工作的服务器上。