當前位置：首頁 > 编程语言 > php >内容正文

php

[PHP 安全] pcc —— PHP 安全配置检测工具

發布時間：2024/4/13 php 47 豆豆

生活随笔收集整理的這篇文章主要介紹了 [PHP 安全] pcc —— PHP 安全配置检测工具小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章轉自：learnku.com/php/t/27016

在 PHP 安全測試中最單調乏味的任務之一就是檢查不安全的 PHP 配置項。作為一名 PHP 安全海報的繼承者，我們創建了一個腳本用來幫助系統管理員如同安全專家一樣盡可能快速且全面地評估 php.ini 和相關主題的狀態。在下文中，該腳本被稱作“PHP 安全配置項檢查器”，或者 pcc。

github.com/sektioneins…

CLI：簡單調用?php phpconfigcheck.php。然后，添加參數?-a?以便更好的查看隱藏結果，?-h?以 HTML 格式輸出，?-j?以 JSON 格式輸出.
WEB：復制這個腳本文件到你的服務器上的任意一個可訪問目錄，比如 root 目錄。參見下面的“防護措施”。

在非 CLI 模式下默認輸出 HTML 格式。可以通過修改設置環境變量PCC_OUTPUT_TYPE=text?或者?PCC_OUTPUT_TYPE=json改變這個行為。

一些測試用例默認是被隱藏的，特別是skipped、ok和 unknown/untested這些。要顯示全部結果，可以用?phpconfigcheck.php?showall=1，但這并不適用于 JSON 輸出，它默認返回全部結果。在 WEB 模式下控制輸出格式用?phpconfigcheck.php?format=...，?format的值可以是?text,?html?或者?json中的一個，例如：?phpconfigcheck.php?format=text。?format?參數優先于 PCC_OUTPUT_TYPE。

大多數情況下，最好是自己來關注與安全性相關的問題比如PHP的配置。腳本已實現下列保障措施：

mtime檢查：腳本在非CLI環境中只能工作兩天。可以通過touch phpconfigcheck.php或者將腳本文件再次復制到你的服務器(例如通過SCP)來重新進行mtime檢查。可以通過設置環境量：?PCC_DISABLE_MTIME=1，比如在apache的.htaccess文件中設置SetEnv PCC_DISABLE_MTIME 1來禁用mtime檢查。
來源IP檢查：默認情況下，只有localhost (127.0.0.1 和 ::1)才能訪問這個腳本。其他主機可以通過在PCC_ALLOW_IP中添加IP地址或者通配符表達式的方式來訪問腳本，比如在.htaccess文件中設置SetEnv PCC_ALLOW_IP 10.0.0.*。你還可以選擇通過SSH端口轉發訪問您的web服務器，比如?ssh -D?或者?ssh -L。

可以通過github下載第一個完整的開發版：?github.com/sektioneins…

如果有好的建議或者遇到bug請給我們提issue：

HTML輸出的列表是根據問題嚴重性排序的，通過顏色代碼的形式列出了所有建議。列表頂部的狀態行會顯示問題的數量。

這個工具只能用來支持你搭建一個安全的PHP環境，做不了其他事。你的設置、軟件或任何相關的配置可能仍然是脆弱的，即使該工具的輸出表明情況并非如此。

文章轉自：learnku.com/php/t/27016
更多文章：learnku.com/laravel/c/t…

轉載于:https://juejin.im/post/5cb8363251882532a42c10c9

以上是生活随笔為你收集整理的[PHP 安全] pcc —— PHP 安全配置检测工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。