[PHP 安全] pcc —— PHP 安全配置检测工具
文章轉自:learnku.com/php/t/27016
背景
在 PHP 安全測試中最單調乏味的任務之一就是檢查不安全的 PHP 配置項。作為一名 PHP 安全海報的繼承者,我們創建了一個腳本用來幫助系統管理員如同安全專家一樣盡可能快速且全面地評估 php.ini 和相關主題的狀態。在下文中,該腳本被稱作“PHP 安全配置項檢查器”,或者 pcc。
github.com/sektioneins…
概念
- 一個便于分發的單文件
- 有對每個安全相關的 ini 條目的簡單測試
- 包含一些其他測試 - 但不太復雜
- 兼容 PHP >= 5.4, 或者 >= 5.0
- 沒有復雜/過度設計的代碼,例如沒有類/接口,測試框架,類庫等等。它應該第一眼看上去是顯而易見的-甚至對于新手-這個工具怎么使用能用來做什么。
- 沒有(或者少量的)依賴
使用 / 安裝
-
CLI:簡單調用?php phpconfigcheck.php。然后,添加參數?-a?以便更好的查看隱藏結果,?-h?以 HTML 格式輸出,?-j?以 JSON 格式輸出.
-
WEB: 復制這個腳本文件到你的服務器上的任意一個可訪問目錄,比如 root 目錄。參見下面的“防護措施”。
在非 CLI 模式下默認輸出 HTML 格式。可以通過修改設置環境變量PCC_OUTPUT_TYPE=text?或者?PCC_OUTPUT_TYPE=json改變這個行為。
一些測試用例默認是被隱藏的,特別是skipped、ok和 unknown/untested這些。要顯示全部結果,可以用?phpconfigcheck.php?showall=1,但這并不適用于 JSON 輸出,它默認返回全部結果。 在 WEB 模式下控制輸出格式用?phpconfigcheck.php?format=...,?format的值可以是?text,?html?或者?json中的一個,例如:?phpconfigcheck.php?format=text。?format?參數優先于 PCC_OUTPUT_TYPE。
保障措施
大多數情況下,最好是自己來關注與安全性相關的問題比如PHP的配置。腳本已實現下列保障措施:
-
mtime檢查:腳本在非CLI環境中只能工作兩天。可以通過touch phpconfigcheck.php或者將腳本文件再次復制到你的服務器(例如通過SCP)來重新進行mtime檢查。可以通過設置環境量:?PCC_DISABLE_MTIME=1,比如在apache的.htaccess文件中設置SetEnv PCC_DISABLE_MTIME 1來禁用mtime檢查。
-
來源IP檢查:默認情況下,只有localhost (127.0.0.1 和 ::1)才能訪問這個腳本。其他主機可以通過在PCC_ALLOW_IP中添加IP地址或者通配符表達式的方式來訪問腳本,比如在.htaccess文件中設置SetEnv PCC_ALLOW_IP 10.0.0.*。你還可以選擇通過SSH端口轉發訪問您的web服務器, 比如?ssh -D?或者?ssh -L。
下載
可以通過github下載第一個完整的開發版:?github.com/sektioneins…
如果有好的建議或者遇到bug請給我們提issue:
截圖
HTML輸出的列表是根據問題嚴重性排序的,通過顏色代碼的形式列出了所有建議。列表頂部的狀態行會顯示問題的數量。
注意
這個工具只能用來支持你搭建一個安全的PHP環境,做不了其他事。你的設置、軟件或任何相關的配置可能仍然是脆弱的,即使該工具的輸出表明情況并非如此。
文章轉自:learnku.com/php/t/27016
更多文章:learnku.com/laravel/c/t…
轉載于:https://juejin.im/post/5cb8363251882532a42c10c9
總結
以上是生活随笔為你收集整理的[PHP 安全] pcc —— PHP 安全配置检测工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 试验过的开源软件
- 下一篇: php 微信机器人_微信小程序机器人自动