Menu Luk

Påskeæg på serverniveau – Tjek din webserver

PHP påskeæg

 

 

 

 

Hvis du tilføjer koden “? = PHPE9568F36-D428-11D2-A769-00AA001ACF42” (uden anførselstegn) til slutningen af enhver webadresse, der er en PHP side, så vil du se et sjovt billede på de fleste servere.

En anden variant af denne spøg.: ? = PHPE9568F36-D428-11D2-A769-00AA001ACF42 sættes ligeledes i slutningen af webadressen efter f.eks. domænenavn.dk/

Den 1. april, her er der også lagt et spændende billede ind, der matcher Aprilsnar. Der kører seks forskellige billeder på flere forskellige søgestrenge.

Hvis du finder en streng, der ser således ud i din logfil, så skyldes det muligvis, en der vil se om sitet kører med php og efterfølgende lede efter sikkerhedshuller for at hacke dit website.

Men rolig nu! Ved at sætte sin php.ini fil op, således PHP direktivet expose_php sættes til off i stedet for on, så forsvinder denne mulighed. Expose_php står til on på mange webhoteller og servere.

Koden ? = PHPE9568F36-D428-11D2-A769-00AA001ACF42, returneres af en skjult funktion (udokumenteret i php.net online manual) php_egg_logo_guid (). PHP_EGG_LOGO_GUID, den defineres som en makro i php-src/ext/standard/info.h, linje 54, og refererer til disse tre filer:

  •  php-src/ext/standard/info.c (linjer 988 og 1032)
  • php-src/ext/standard/info.h (linje 54)
  • php-src/main/php_logos.c (linje 59).

Htaccess giver lignende mulighed

Hvis du ikke har adgang til webserverens PHP bibliotek, så er der mulighed for at fikse det via din htaccess fil.

Indsæt følgende linje, så er der lukket af for påskeægget til dit website.:

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* – [F]

Hvis du vil lukke af for alle seks varianter på serveren, så skal du indsætte følgende i htaccess filen.:

ServerTokens Prod
ServerSignature Off
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* – [F]

Her kan vi nægte adgang til PHP info og deaktivere udsendelse af Apache versionsnummer i forbindelse med hostheader tjek.

Det fungerer, men desværre kan man ikke forhindre expose_php sender sine X-Powered-By overskrifter med ved test af host header. Det kan ikke udelukkes med en htaccess.

HTTP/1.1 200 OK =>
Server => Apache/2.2.6 (Fedora)
X-Powered-By => PHP/5.1.6
Set-Cookie => PHPSESSID=9i8t1lnj4r301359punv2tn843; path=/
Expires => Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control => no-store, no-cache, must-revalidate, post-check=0, pre-check=0

 

Posted in Internettet