Archivo phpinfo

Iniciado por fabiru23, 6 Mayo 2021, 05:34 AM

0 Miembros y 1 Visitante están viendo este tema.

fabiru23

Hola a todos!

Tengo una duda, si en un servidor me encuentro un archivo phpinfo.php puedo saber las vulnerabilidades de este sitio?

Podría hacer alguna inyección de código o algo así?

Aclaro no quiero hacer ninguna maldad, solo es porque me encontre con un post que  dice que este archivo da mucha información que pone en riego la seguridad del sitio.

Gracias por sus comentarios.

Xyzed

Hola.

Así es, es algo peligroso que todos puedan ver dicho archivo.
Contiene información sobre la versión de php y el servidor, los cuales pueden tener vulnerabilidades y ser explotadas.

Cita: https://www.acunetix.com/
Citar
Incluye información sobre las opciones y extensiones de compilación de PHP, la versión de PHP, la información del servidor y el entorno (si se compila como un módulo), el entorno de PHP, información de la versión del sistema operativo, rutas, valores maestros y locales de las opciones de configuración, encabezados HTTP y PHP. Licencia.

Igualmente, siempre que utilices el código de phpinfo te recomiendo hacerlo en un directorio oculto, ponerle contraseña o algún medio de seguridad mediante el cual solo tu puedas verlo.
Y siempre intenta darle un único uso y borrarlo.

Es como el repair settings de smf, no sé si te ubicas. Un archivo que debe ser borrado una vez terminada su utilización.

Saludos.
...

el-brujo

un archivo phpinfo.php o el nombre que sea me imagino que es simplemente una llamada a la función phpinfo() de php

Simplemente muestra mucha y valiosa información "sensible" (rutas del sistema, paths, versiones del sistmea operativo, versiones instaladas, módulos, capacidades del sistema, funciones deshabilitdas etc, etc) pero no es potencialmente vulnerable.

fabiru23

Gracias por la información.

Con la info que tiene este archivo o función phpinfo(); podría tener acceso de alguna manera al servidor por medio de terminal o ftp o podria descargar archivos de ese servidor?

Me podrían dar un norte para investigar si se podría hacer esto? No se por donde irme o mas bien encontre el archivo pero no tengo idea con esta info que arroja como o que le podría pasar a mi servidor.

Gracias de nuevo.

Xyzed

Cita de: fabiru23 en  6 Mayo 2021, 16:28 PM
Gracias por la información.

Con la info que tiene este archivo o función phpinfo(); podría tener acceso de alguna manera al servidor por medio de terminal o ftp o podria descargar archivos de ese servidor?



No, como bien te dijo @el-brujo y te comente arriba, la existencia del archivo es un riesgo, pero no es algo potencialmente vulnerable.

Podrías utilizar la información que te da el archivo e investigar que podrías hacer con esa data.

Saludos.
...

Danielㅤ

Hola, como dijeron los compañeros, la función phpinfo() muestra cuantiosa información del servidor web, pero no es que sea una vulnerabilidad en si, sinó que es una función que brinda muchos datos que solo debería ser visible para el dueño/administrador del sitio y no de acceso público.
Suele pasar que algunas veces algunos administradores se olvidan de borrar el archivo que utiliza la función phpinfo();.


CitarEs como el repair settings de smf, no sé si te ubicas. Un archivo que debe ser borrado una vez terminada su utilización.

El archivo repair_settings.php no es de instalación, es una herramienta para corregir rutas del foro, el archivo para la instalación de SMF es install.php.

En cuánto a ser peligroso el repair_settings.php, si, es potencialmente peligroso y altamente vulnerable dejar ese archivo en el servidor, ya que por ejemplo muestra datos de la base de datos del foro entre otros datos importantes, pero éste archivo al menos cuando está públicamente en el servidor, te muestra una advertencia que tienes que eliminar ese archivo para que si o si veas esa advertencia y no se te pase por alto ya que el sitio estaría en riesgo mientras exista ese archivo.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Xyzed

Cita de: [D]aniel en  7 Mayo 2021, 00:58 AM

El archivo repair_settings.php no es de instalación, es una herramienta para corregir rutas del foro, el archivo para la instalación de SMF es install.php.

Hola @[D]aniel.

Es como bien dices, un archivo para corregir rutas.
Me refería a que tiene similitud el archivo de phpinfo con el repair_settings debido a que ambos deberían ser borrados luego de su utilización.

Saludos.
...

fabiru23

Muchas gracias a todos por la información!