去年滴滴面试的时候提到过phpinfo中有哪些安全相关的信息,当时答的不算很好,今年也要面临校招,所以在这篇文章中总结一下。
Configuration File (php.ini) Path
加载的php.ini文件的位置Registered PHP Streams
支持的php流,主要用于文件包含、反序列化等等的应用。Registered Stream Filters
支持的php流过滤器,应用如上。allow_url_fopen与allow_url_include
文件包含有关disable_functions
禁止的函数,RCE时需要特别注意display_errorsdisplay_startup_errors
错误提示相关open_basedir
重要属性,(线下赛中在WAF设置一个可以废掉所有的文件包含漏洞)enable_dl
是否能够动态加载php模块,可用于bypass disable_functionsextension_dir
模块位置include_path
php include时的默认路径short_open_tag
判断服务器是否支持短标签session.save_path
session存储路径session.save_handler
用户自定义存储函数session.auto_start
是否自动开启sessionsession.serialize_handler
反序列化器- _SERVER相关
fastcgi
远程命令执行、解析漏洞expose_php
在http包中显示php版本等