Ein paar einfache Techniken helfen PHP zu Verstecken, um einen nach
Schwächen in Ihrem System suchenden Angreifer möglicherweise langsamer
Wenn Sie in Ihrer php.ini expose_php = off zu machen. setzen,
reduzieren Sie damit die ihm zur Verfügung stehenden Informationen.
Eine andere Taktik ist, den Webserver wie z.B. Apache entweder mittels
einer .htaccess Direktive oder in der Apache Konfigurationsdatei selbst
so konfigurieren, dass dieser verschiedene Dateitypen durch PHP parst.
So können Sie irreführende Dateierweiterungen verwenden:
Beispiel 4-12. PHP als andere Sprache ausgeben
# Lasse PHP Code wie andere Arten von Code aussehen
AddType application/x-httpd-php .asp .py .pl
|
|
Oder komplett unklar machen:
Beispiel 4-13. Verwenden von unbekannten Typen für PHP Dateierweiterungen
# Lasse PHP Code wie unbekannte Typen aussehen
AddType application/x-httpd-php .bop .foo .133t
|
|
Oder verstecken Sie ihn als html Code, was einen leichten
Performanceverlust bedeutet, da alle html Dateien durch die PHP
Engine geparst werden:
Beispiel 4-14. Verwenden von html Typen für PHP Dateierweiterungen
# Lasse PHP code wie html aussehen
AddType application/x-httpd-php .htm .html
|
|
Um dies effektiv arbeiten zu lassen, müssen Sie Ihre PHP Dateien
nach den obigen Dateierweiterungen umbenennen. Während dies eine
Form der Sicherheit durch Verhüllung ist, ist es ein kleines
präventives Maß mit ein paar Nachteilen.