Cara menyembunyikan nomor versi php di header http
- 1151
- 85
- Ian Parker
Konfigurasi PHP, secara default memungkinkan header respons server http 'X-Powered-by'Untuk menampilkan versi PHP yang diinstal di server.
Untuk alasan keamanan server (meskipun bukan ancaman besar yang perlu dikhawatirkan), disarankan agar Anda menonaktifkan atau menyembunyikan informasi ini dari penyerang yang mungkin menargetkan server Anda dengan ingin tahu apakah Anda menjalankan PHP atau tidak.
Dengan asumsi versi PHP tertentu yang diinstal di server Anda memiliki lubang keamanan, dan di sisi lain, penyerang mengetahui hal ini, akan menjadi lebih mudah bagi mereka untuk mengeksploitasi kerentanan dan mendapatkan akses ke dalam skrip melalui skrip melalui skrip.
Di artikel saya sebelumnya, saya telah menunjukkan cara menyembunyikan nomor versi Apache, di mana Anda telah melihat cara mematikan versi yang diinstal Apache. Tetapi jika Anda menjalankan PHP di server web Apache Anda, Anda perlu menyembunyikan versi yang diinstal php juga, dan inilah yang kami tunjukkan di artikel ini.
Oleh karena itu, dalam posting ini, kami akan menjelaskan cara menyembunyikan atau mematikan yang menunjukkan nomor versi php di header respons http server.
Pengaturan ini dapat dikonfigurasi dalam file konfigurasi PHP yang dimuat. Jika Anda tidak tahu lokasi file konfigurasi ini di server Anda, jalankan perintah di bawah ini untuk menemukannya:
$ php -i | grep "file konfigurasi yang dimuat"Lokasi File Konfigurasi PHP
---------------- Di centos/rhel/fedora ---------------- File konfigurasi yang dimuat => /etc /php.ini ---------------- Di debian/ubuntu/linux mint ---------------- File konfigurasi yang dimuat =>/etc/php/7.0/CLI/PHP.ini
Sebelum membuat perubahan pada file konfigurasi PHP, saya sarankan Anda untuk terlebih dahulu membuat cadangan file konfigurasi php Anda seperti itu seperti:
---------------- Di centos/rhel/fedora ---------------- $ sudo cp /etc /php.ini /etc /php.ini.Orig ---------------- Di debian/ubuntu/linux mint ---------------- $ sudo cp/etc/php/7.0/CLI/PHP.ini/etc/php/7.0/CLI/PHP.ini.Orig
Kemudian buka file menggunakan editor favorit Anda dengan hak istimewa pengguna super seperti itu:
---------------- Di centos/rhel/fedora ---------------- $ sudo vi /etc /php.ini ---------------- Di debian/ubuntu/linux mint ---------------- $ sudo vi/etc/php/7.0/CLI/PHP.ini
Temukan kata kunci Expose_php
dan mengatur nilainya Mati:
Expose_php = OFF
Simpan file dan keluar. Setelah itu, restart server web sebagai berikut:
---------------- Di Systemd ---------------- $ sudo systemctl restart httpd $ sudo systemctl restart apache2 ---------------- Di Sysvinit ---------------- $ Layanan Sudo httpd restart $ sudo service apache2 restart
Last but not least, periksa apakah header respons server http masih menunjukkan nomor versi php Anda menggunakan perintah di bawah ini.
$ lynx -head -miMe_header http: // localhost atau $ lynx -head -Mime_header http: // server -address
dimana bendera:
-kepala
- mengirimkan permintaan kepala untuk header mime.-mime_header
- mencetak header mime dari dokumen yang diambil bersama dengan sumbernya.
Catatan: Pastikan Anda memiliki lynx - browser web baris perintah diinstal pada sistem Anda.
Itu dia! Di artikel ini, kami menjelaskan cara menyembunyikan nomor versi php di header respons server http untuk mengamankan server web dari kemungkinan serangan. Anda dapat menambahkan opini ke posting ini atau mungkin mengajukan pertanyaan terkait melalui formulir komentar di bawah ini.
- « Nonaktifkan Daftar Direktori Web Apache Menggunakan .file htaccess
- Cara memanipulasi nama file yang memiliki spasi dan karakter khusus di Linux »