Installation von PHP erkennen (expose_php)

Wenn man versucht, die Schwachstellen einer Webseite ausfindig zu machen, dann ist der erste Schritt, den man gehen sollte, möglichst viel Information über das System, das man angreifen will zu sammeln.

Will man verhindern, dass der Angreifer mitbekommt, dass auf dem Webserver PHP läuft und die Anwendung in dieser Sprache geschrieben wurde, dann gilt es zuerst die Dateiendungen von .php auf .htm oder vielleicht sogar .asp umzustellen. Hierzu sollte man das Apache Modul mod_rewrite verwenden. Aber wem sag ich das, ihr seid ja alles PHP Profis.

Wir gehen jetzt also davon, dass wir nur noch html Dateien auf dem Server liegen haben. Dummerweise hat PHP die Eigenart, dass man auch jetzt noch erkennen kann, dass es sich um eine PHP Installation handelt. Hängt man an eine beliebige URL den Parameter ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 an, so erscheint das PHP Logo. Warum dies so ist, ich hab mal wieder gar keine Ahnung, aber es funktioniert.

• http://www.phphatesme.com/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
• http://wikipedia.de/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
• http://berlios.de/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
• http://www.java.de/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42

Das gute an diesem Feature ist, man kann es einfach ausschalten. Dazu bemüht man einfach die php.ini und schaltet den Parameter expose_php Parameter aus. Dies geht wir folgt:

expose_php = 'off'

Klingt einfach, ist es auch. Ist der Parameter erstmal umgesetzt, kann niemand mehr das PHP Logo auf magische Weise anzeigen lassen. Ich habs bei uns mal drinnen gelassen, denn rauszufinden, dass eine Webseite, die phphatesme heißt und ein Blog zum Thema php ist, sollte auch ohne Tricks möglich sein.