上次写到的一文“禁用危险函数-PHP安全”中提到了PHP版本号的问题。今天在浏览一个曝光平台时发现此网站是使用PHP编写的,而且出现了版本号暴露情况,下面是截图:
截图注意:已经将此问题提交给了该项目人员。
为什么要隐藏版本号?因为一旦暴露出版本信息,如果此版本出现漏洞,攻击者很容易将其利用。强烈建议在生产环境中隐藏PHP版本号。
PHP如何隐藏版本号
在PHP的配置文件中查找expose_php,将值设置为Off,PHP的版本显示将关闭。
隐藏版本号的优点
避免攻击者进行批量扫描,防止服务器信息暴露,从而降低被攻击的风险。