今天在查询PHP官方手册时有两个函数php_logo_guid和zend_logo_guid引起了我的兴趣,其函数原型以及返回内容如下:
string php_logo_guid ( void ); // Returns PHPE9568F34-D428-11d2-A769-00AA001ACF42 string zend_logo_guid ( void ); // Returns PHPE9568F35-D428-11d2-A769-00AA001ACF42 |
这两个函数返回的以PHPE95..开头字符串,这个字符串有什么用呢?比如php_logo_guid手册举了一个例子:
< ?php echo '<img src="' . $_SERVER['PHP_SELF'] . '?=' . php_logo_guid() . '" alt="PHP Logo !" />'; ?> |
如果一切正常的话,页面会输出一个PHP Logo,实际上图片地址存在任意的php页面后跟?=PHPE9568F34-D428-11d2-A769-00AA001ACF42这样的guid串,如果PHP是默认配置的话每个PHP页面都能找到,比如说有index.php,可以尝试访问index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42,再看一下zend_logo_guid显示的图片,现在有些眼熟了吧,没错这些图片都被phpinfo()输出信息所调用。
我们可以在PHP 源码的 ext/standard/info.h 中找到相关标识图片GUID的定义:
53 54 55 56 | #define PHP_LOGO_GUID "PHPE9568F34-D428-11d2-A769-00AA001ACF42" #define PHP_EGG_LOGO_GUID "PHPE9568F36-D428-11d2-A769-00AA001ACF42" #define ZEND_LOGO_GUID "PHPE9568F35-D428-11d2-A769-00AA001ACF42" #define PHP_CREDITS_GUID "PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000" |
除了我们刚才知道的PHP Logo和Zend Logo的外,还有两个PHP_CREDITS_GUID和PHP_EGG_LOGO_GUID比较新鲜,尝试PHP_CREDITS_GUID后发现其不是显示的图片,而是显示了一长串的Credits,包含创作团队的名字;另外一个PHP_EGG_LOGO_GUID是什么呢?从名字上也能猜出一二,嘿,是个复活节彩蛋,我上面显示了是个毛绒蓝色的大象,上面印上了PHP字样,据说这个彩蛋有以下几种:
好了,娱乐了这么长时间,下面好一本正经下了,多数情况下Hackers会在攻击服务器前收集相关服务器的信息,然后进行有针对的攻击措施,我们不想让不怀好意者知道我们Web后台的开发语言,除了隐藏后缀(*.php)以及隐藏服务器或者cgi版本外,刚才提到的这些信息也是我们重点隐藏的对象。为了安全,只能和这些有趣的东东说再见了,其实PHP里面隐藏这些内容也很容易,不说大家也知道去改配置文件php.ini,至于改哪个选项,我这里交待一下,那就是expose_php,将其改为Off即可,我前面文章《隐藏Nginx和PHP版本号》也提及过这个选项,当时只知道可以隐藏PHP版本号,没想到设置为Off后还能一并隐藏PHP Credits以及Guid图片,配置如下:
;;;;;;;;;;;;;;;;; ; Miscellaneous ; ;;;;;;;;;;;;;;;;; ; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = On |
刚才看到有人通过设置apache的.htaccess来禁止访问这些GUID的URL,虽然灵活性较差,不过也分享出来供大家参考吧:
# 禁止特定GUID RewriteEngine On RewriteCond %{QUERY_STRING} \PHPE9568F36-D428-11d2-A769-00AA001ACF42\ [NC] RewriteRule .* - [F] # 或者正则禁止所有已知GUID # See https://akeeba.assembla.com/code/master-htaccess/git/nodes/htaccess.txt RewriteEngine On RewriteCond %{QUERY_STRING} \=PHP[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12} [NC] RewriteRule .* - [F] |
最后,更改过配置别忘了让PHP或者Web服务器重新加载配置哦。
参考文档
- How can I disable PHP’s “easter egg” URLs?
- Disable PHP Expose / Disable PHP Credits page showing up with including some.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 variable to a PHP powered WebServer