phpinfo dostepne dla kazdego?

[szymkraw]

Witam.
Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
Szukalem informacji na ten temat ale zdania sa podzielone.

[markossx]

Jak potrzebujesz ujawniać takie info to ujawniasz,
jak nie ma potrzeby ja bym nie ujawniał.

[szymkraw]

A jesli strona jest podatna na path traversal nie ulatwi to czasami atakujacemu przeskoczenie do jakiegos folderu etc?

[TQM]

Generalna zasada bezpieczenstwa to ujawniac jak najmniej informacji o serwerze i konfiguracji.

phpinfo mowi o sciezkach, wersjach bibliotek, wersji php itd - znajac te informacje mam znacznie wieksze szanse przygotowac atak ktory zadziala niz gdybym mial zgadywac i testowac rozne warianty w nadziei ze sie uda. Po co ulatiwac skiddies robote?

[szymkraw]

Jeszcze jedno pytanie. Jesli jakis portal w intranecie posiada dziury w stylu SQL injection i XSS powinienem dac sie zbyc wytlumaczeniem ze wszystko jest ok bo serwis nie jest publicznie dostepny i stoi za firewallem?

[TQM]

Serwis stoi za firewallem ktory przepuszcza ruch HTTP(s) wiec jest tak jakby go tam nie bylo, bo SQLi i XSS to ataki uzywajace HTTP(s) do komunikacji.

Jesli jakas firma ci takie cos mowi to czas szukac innej firmy.

[szymkraw]

Sql injection juz zalatalem. Teraz XSS.
I w pelni sie z Toba zgadzam. Ale to czesta praktyka bo wszyscy mysla ze jak cos jest w intranecie to juz nic zlego sie nie wydarzy...
Jak juz skoncze latac wszystko zademonstruje co mozna z tymi wszystkimi dziurami zrobic.

Odejsc nie odejde kotrakt Pozatym druga tego typu firme znajde albo w chinach albo za oceanem wiec zostaje ^^

[Aliraza84]

Właściciel routera może Cię podglądać, ISP też z tym że myśli że to właściciel sieci do której się podłączysz. Sprawdz co to VPN

[Elitegroup]

do phpinfo wrzuć jeszcze aktualne wersje usług : ) ale byś wtedy ułatwił pracę xD Im więcej danych ujawnionych jest publicznie tym lepiej - i ja wcale nie powiedziałem, że dla Was lepiej