資訊專欄INFORMATION COLUMN
摘要:文章轉自背景在安全測試中最單調乏味的任務之一就是檢查不安全的配置項。在下文中,該腳本被稱作安全配置項檢查器,或者。保障措施大多數情況下,最好是自己來關注與安全性相關的問題比如的配置。腳本已實現下列保障措施檢查腳本在非環境中只能工作兩天。
文章轉自:https://learnku.com/php/t/27016背景
在 PHP 安全測試中最單調乏味的任務之一就是檢查不安全的 PHP 配置項。作為一名 PHP 安全海報的繼承者,我們創建了一個腳本用來幫助系統管理員如同安全專家一樣盡可能快速且全面地評估 php.ini 和相關主題的狀態。在下文中,該腳本被稱作“PHP 安全配置項檢查器”,或者 pcc。
https://github.com/sektionein...概念
一個便于分發的單文件
有對每個安全相關的 ini 條目的簡單測試
包含一些其他測試 - 但不太復雜
兼容 PHP >= 5.4, 或者 >= 5.0
沒有復雜/過度設計的代碼,例如沒有類/接口,測試框架,類庫等等。它應該第一眼看上去是顯而易見的-甚至對于新手-這個工具怎么使用能用來做什么。
沒有(或者少量的)依賴
使用 / 安裝CLI:簡單調用?php phpconfigcheck.php。然后,添加參數?-a?以便更好的查看隱藏結果,?-h?以 HTML 格式輸出,?-j?以 JSON 格式輸出.
WEB: 復制這個腳本文件到你的服務器上的任意一個可訪問目錄,比如 root 目錄。參見下面的“防護措施”。
在非 CLI 模式下默認輸出 HTML 格式。可以通過修改設置環境變量PCC_OUTPUT_TYPE=text?或者?PCC_OUTPUT_TYPE=json改變這個行為。
一些測試用例默認是被隱藏的,特別是skipped、ok和 unknown/untested這些。要顯示全部結果,可以用?phpconfigcheck.php?showall=1,但這并不適用于 JSON 輸出,它默認返回全部結果。
在 WEB 模式下控制輸出格式用?phpconfigcheck.php?format=...,?format的值可以是?text,?html?或者?json中的一個,例如:?phpconfigcheck.php?format=text。?format?參數優先于 PCC_OUTPUT_TYPE。
大多數情況下,最好是自己來關注與安全性相關的問題比如PHP的配置。腳本已實現下列保障措施:
mtime檢查:腳本在非CLI環境中只能工作兩天。可以通過touch phpconfigcheck.php或者將腳本文件再次復制到你的服務器(例如通過SCP)來重新進行mtime檢查。可以通過設置環境量:?PCC_DISABLE_MTIME=1,比如在apache的.htaccess文件中設置SetEnv PCC_DISABLE_MTIME 1來禁用mtime檢查。
來源IP檢查:默認情況下,只有localhost (127.0.0.1 和 ::1)才能訪問這個腳本。其他主機可以通過在PCC_ALLOW_IP中添加IP地址或者通配符表達式的方式來訪問腳本,比如在.htaccess文件中設置SetEnv PCC_ALLOW_IP 10.0.0.*。你還可以選擇通過SSH端口轉發訪問您的web服務器, 比如?ssh -D?或者?ssh -L。
下載可以通過github下載第一個完整的開發版:?https://github.com/sektionein...
如果有好的建議或者遇到bug請給我們提issue:
截圖HTML輸出的列表是根據問題嚴重性排序的,通過顏色代碼的形式列出了所有建議。列表頂部的狀態行會顯示問題的數量。
注意這個工具只能用來支持你搭建一個安全的PHP環境,做不了其他事。你的設置、軟件或任何相關的配置可能仍然是脆弱的,即使該工具的輸出表明情況并非如此。
文章轉自:https://learnku.com/php/t/27016
更多文章:https://learnku.com/laravel/c...
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/31269.html
摘要:安全生成安全的隨機數,加密數據,掃描漏洞的庫一個兼容標準的過濾器一個生成隨機數和字符串的庫使用生成隨機數的庫一個安全庫一個純安全通信庫一個簡單的鍵值加密存儲庫一個結構化的安全層一個試驗的面向對象的包裝庫一個掃描文件安全的庫 Security 安全 生成安全的隨機數,加密數據,掃描漏洞的庫 HTML Purifier-一個兼容標準的HTML過濾器 RandomLib-一個生成隨機數和字...
摘要:安全生成安全的隨機數,加密數據,掃描漏洞的庫一個兼容標準的過濾器一個生成隨機數和字符串的庫使用生成隨機數的庫一個安全庫一個純安全通信庫一個簡單的鍵值加密存儲庫一個結構化的安全層一個試驗的面向對象的包裝庫一個掃描文件安全的庫 Security 安全 生成安全的隨機數,加密數據,掃描漏洞的庫 HTML Purifier-一個兼容標準的HTML過濾器 RandomLib-一個生成隨機數和字...
閱讀 818·2023-04-25 20:18
閱讀 2099·2021-11-22 13:54
閱讀 2543·2021-09-26 09:55
閱讀 3910·2021-09-22 15:28
閱讀 2980·2021-09-03 10:34
閱讀 1716·2021-07-28 00:15
閱讀 1642·2019-08-30 14:25
閱讀 1286·2019-08-29 17:16
