关闭PHP Credits和隐藏的GUID图片Logo彩蛋的显示

!本文可能 超过1年没有更新,今后内容也许不会被维护或者支持,部分内容可能具有时效性,涉及技术细节或者软件使用方面,本人不保证相应的兼容和可操作性。

今天在查询PHP官方手册时有两个函数php_logo_guidzend_logo_guid引起了我的兴趣,其函数原型以及返回内容如下:

string php_logo_guid ( void );
// Returns PHPE9568F34-D428-11d2-A769-00AA001ACF42
string zend_logo_guid ( void );
// Returns PHPE9568F35-D428-11d2-A769-00AA001ACF42

这两个函数返回的以PHPE95..开头字符串,这个字符串有什么用呢?比如php_logo_guid手册举了一个例子:

< ?php
 
echo '<img src="' . $_SERVER['PHP_SELF'] .
     '?=' . php_logo_guid() . '" alt="PHP Logo !" />';
 
?>

如果一切正常的话,页面会输出一个PHP Logo,实际上图片地址存在任意的php页面后跟?=PHPE9568F34-D428-11d2-A769-00AA001ACF42这样的guid串,如果PHP是默认配置的话每个PHP页面都能找到,比如说有index.php,可以尝试访问index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42,再看一下zend_logo_guid显示的图片,现在有些眼熟了吧,没错这些图片都被phpinfo()输出信息所调用。

我们可以在PHP 源码的 ext/standard/info.h 中找到相关标识图片GUID的定义:

53
54
55
56
#define PHP_LOGO_GUID         "PHPE9568F34-D428-11d2-A769-00AA001ACF42"
#define PHP_EGG_LOGO_GUID   "PHPE9568F36-D428-11d2-A769-00AA001ACF42"
#define ZEND_LOGO_GUID      "PHPE9568F35-D428-11d2-A769-00AA001ACF42"
#define PHP_CREDITS_GUID  "PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000"

除了我们刚才知道的PHP Logo和Zend Logo的外,还有两个PHP_CREDITS_GUID和PHP_EGG_LOGO_GUID比较新鲜,尝试PHP_CREDITS_GUID后发现其不是显示的图片,而是显示了一长串的Credits,包含创作团队的名字;另外一个PHP_EGG_LOGO_GUID是什么呢?从名字上也能猜出一二,嘿,是个复活节彩蛋,我上面显示了是个毛绒蓝色的大象,上面印上了PHP字样,据说这个彩蛋有以下几种:

PHP复活节彩蛋

好了,娱乐了这么长时间,下面好一本正经下了,多数情况下Hackers会在攻击服务器前收集相关服务器的信息,然后进行有针对的攻击措施,我们不想让不怀好意者知道我们Web后台的开发语言,除了隐藏后缀(*.php)以及隐藏服务器或者cgi版本外,刚才提到的这些信息也是我们重点隐藏的对象。为了安全,只能和这些有趣的东东说再见了,其实PHP里面隐藏这些内容也很容易,不说大家也知道去改配置文件php.ini,至于改哪个选项,我这里交待一下,那就是expose_php,将其改为Off即可,我前面文章《隐藏Nginx和PHP版本号》也提及过这个选项,当时只知道可以隐藏PHP版本号,没想到设置为Off后还能一并隐藏PHP Credits以及Guid图片,配置如下:

;;;;;;;;;;;;;;;;;
; Miscellaneous ;
;;;;;;;;;;;;;;;;;
 
; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header).  It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; http://php.net/expose-php
expose_php = On

刚才看到有人通过设置apache的.htaccess来禁止访问这些GUID的URL,虽然灵活性较差,不过也分享出来供大家参考吧:

# 禁止特定GUID
RewriteEngine On 
RewriteCond %{QUERY_STRING} \PHPE9568F36-D428-11d2-A769-00AA001ACF42\ [NC] 
RewriteRule .* - [F] 
 
# 或者正则禁止所有已知GUID
# See https://akeeba.assembla.com/code/master-htaccess/git/nodes/htaccess.txt
RewriteEngine On 
RewriteCond %{QUERY_STRING} \=PHP[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12} [NC] 
RewriteRule .* - [F]

最后,更改过配置别忘了让PHP或者Web服务器重新加载配置哦。

参考文档

若无特别说明,本网站文章均为原创,原则上这些文章不允许转载,但是如果阁下是出于研究学习目的可以转载到阁下的个人博客或者主页,转载遵循创作共同性“署名-非商业性使用-相同方式共享”原则,请转载时注明作者出处谢绝商业性、非署名、采集站、垃圾站或者纯粹为了流量的转载。谢谢合作!
请稍后...

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*