摘要:文章转自背景在安全测试中最单调乏味的任务之一就是检查不安全的配置项。在下文中,该脚本被称作安全配置项检查器,或者。保障措施大多数情况下,最好是自己来关注与安全性相关的问题比如的配置。脚本已实现下列保障措施检查脚本在非环境中只能工作两天。
文章转自:https://learnku.com/php/t/27016背景
在 PHP 安全测试中最单调乏味的任务之一就是检查不安全的 PHP 配置项。作为一名 PHP 安全海报的继承者,我们创建了一个脚本用来帮助系统管理员如同安全专家一样尽可能快速且全面地评估 php.ini 和相关主题的状态。在下文中,该脚本被称作“PHP 安全配置项检查器”,或者 pcc。
https://github.com/sektionein...概念
一个便于分发的单文件
有对每个安全相关的 ini 条目的简单测试
包含一些其他测试 - 但不太复杂
兼容 PHP >= 5.4, 或者 >= 5.0
没有复杂/过度设计的代码,例如没有类/接口,测试框架,类库等等。它应该第一眼看上去是显而易见的-甚至对于新手-这个工具怎么使用能用来做什么。
没有(或者少量的)依赖
使用 / 安装CLI:简单调用 php phpconfigcheck.php。然后,添加参数 -a 以便更好的查看隐藏结果, -h 以 HTML 格式输出, -j 以 JSON 格式输出.
WEB: 复制这个脚本文件到你的服务器上的任意一个可访问目录,比如 root 目录。参见下面的“防护措施”。
在非 CLI 模式下默认输出 HTML 格式。可以通过修改设置环境变量PCC_OUTPUT_TYPE=text 或者 PCC_OUTPUT_TYPE=json改变这个行为。
一些测试用例默认是被隐藏的,特别是skipped、ok和 unknown/untested这些。要显示全部结果,可以用 phpconfigcheck.php?showall=1,但这并不适用于 JSON 输出,它默认返回全部结果。
在 WEB 模式下控制输出格式用 phpconfigcheck.php?format=..., format的值可以是 text, html 或者 json中的一个,例如: phpconfigcheck.php?format=text。 format 参数优先于 PCC_OUTPUT_TYPE。
大多数情况下,最好是自己来关注与安全性相关的问题比如PHP的配置。脚本已实现下列保障措施:
mtime检查:脚本在非CLI环境中只能工作两天。可以通过touch phpconfigcheck.php或者将脚本文件再次复制到你的服务器(例如通过SCP)来重新进行mtime检查。可以通过设置环境量: PCC_DISABLE_MTIME=1,比如在apache的.htaccess文件中设置SetEnv PCC_DISABLE_MTIME 1来禁用mtime检查。
来源IP检查:默认情况下,只有localhost (127.0.0.1 和 ::1)才能访问这个脚本。其他主机可以通过在PCC_ALLOW_IP中添加IP地址或者通配符表达式的方式来访问脚本,比如在.htaccess文件中设置SetEnv PCC_ALLOW_IP 10.0.0.*。你还可以选择通过SSH端口转发访问您的web服务器, 比如 ssh -D 或者 ssh -L。
下载可以通过github下载第一个完整的开发版: https://github.com/sektionein...
如果有好的建议或者遇到bug请给我们提issue:
截图HTML输出的列表是根据问题严重性排序的,通过颜色代码的形式列出了所有建议。列表顶部的状态行会显示问题的数量。
注意这个工具只能用来支持你搭建一个安全的PHP环境,做不了其他事。你的设置、软件或任何相关的配置可能仍然是脆弱的,即使该工具的输出表明情况并非如此。
文章转自:https://learnku.com/php/t/27016
更多文章:https://learnku.com/laravel/c...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/31269.html
摘要:安全生成安全的随机数,加密数据,扫描漏洞的库一个兼容标准的过滤器一个生成随机数和字符串的库使用生成随机数的库一个安全库一个纯安全通信库一个简单的键值加密存储库一个结构化的安全层一个试验的面向对象的包装库一个扫描文件安全的库 Security 安全 生成安全的随机数,加密数据,扫描漏洞的库 HTML Purifier-一个兼容标准的HTML过滤器 RandomLib-一个生成随机数和字...
摘要:安全生成安全的随机数,加密数据,扫描漏洞的库一个兼容标准的过滤器一个生成随机数和字符串的库使用生成随机数的库一个安全库一个纯安全通信库一个简单的键值加密存储库一个结构化的安全层一个试验的面向对象的包装库一个扫描文件安全的库 Security 安全 生成安全的随机数,加密数据,扫描漏洞的库 HTML Purifier-一个兼容标准的HTML过滤器 RandomLib-一个生成随机数和字...
阅读 812·2023-04-25 20:18
阅读 2094·2021-11-22 13:54
阅读 2528·2021-09-26 09:55
阅读 3862·2021-09-22 15:28
阅读 2971·2021-09-03 10:34
阅读 1711·2021-07-28 00:15
阅读 1630·2019-08-30 14:25
阅读 1282·2019-08-29 17:16