摘要：文章轉(zhuǎn)自背景在安全測試中最單調(diào)乏味的任務(wù)之一就是檢查不安全的配置項。在下文中，該腳本被稱作安全配置項檢查器，或者。保障措施大多數(shù)情況下，最好是自己來關(guān)注與安全性相關(guān)的問題比如的配置。腳本已實現(xiàn)下列保障措施檢查腳本在非環(huán)境中只能工作兩天。

文章轉(zhuǎn)自：https://learnku.com/php/t/27016 

在 PHP 安全測試中最單調(diào)乏味的任務(wù)之一就是檢查不安全的 PHP 配置項。作為一名 PHP 安全海報的繼承者，我們創(chuàng)建了一個腳本用來幫助系統(tǒng)管理員如同安全專家一樣盡可能快速且全面地評估 php.ini 和相關(guān)主題的狀態(tài)。在下文中，該腳本被稱作“PHP 安全配置項檢查器”，或者 pcc。

https://github.com/sektionein...

一個便于分發(fā)的單文件

有對每個安全相關(guān)的 ini 條目的簡單測試

包含一些其他測試 - 但不太復(fù)雜

兼容 PHP >= 5.4, 或者 >= 5.0

沒有復(fù)雜/過度設(shè)計的代碼，例如沒有類/接口，測試框架，類庫等等。它應(yīng)該第一眼看上去是顯而易見的-甚至對于新手-這個工具怎么使用能用來做什么。

沒有（或者少量的）依賴

CLI：簡單調(diào)用?php phpconfigcheck.php。然后，添加參數(shù)?-a?以便更好的查看隱藏結(jié)果，?-h?以 HTML 格式輸出，?-j?以 JSON 格式輸出.

WEB： 復(fù)制這個腳本文件到你的服務(wù)器上的任意一個可訪問目錄，比如 root 目錄。參見下面的“防護措施”。

在非 CLI 模式下默認(rèn)輸出 HTML 格式?？梢酝ㄟ^修改設(shè)置環(huán)境變量PCC_OUTPUT_TYPE=text?或者?PCC_OUTPUT_TYPE=json改變這個行為。

一些測試用例默認(rèn)是被隱藏的，特別是skipped、ok和 unknown/untested這些。要顯示全部結(jié)果，可以用?phpconfigcheck.php?showall=1，但這并不適用于 JSON 輸出，它默認(rèn)返回全部結(jié)果。
在 WEB 模式下控制輸出格式用?phpconfigcheck.php?format=...，?format的值可以是?text,?html?或者?json中的一個，例如：?phpconfigcheck.php?format=text。?format?參數(shù)優(yōu)先于 PCC_OUTPUT_TYPE。

大多數(shù)情況下，最好是自己來關(guān)注與安全性相關(guān)的問題比如PHP的配置。腳本已實現(xiàn)下列保障措施：

mtime檢查：腳本在非CLI環(huán)境中只能工作兩天?？梢酝ㄟ^touch phpconfigcheck.php或者將腳本文件再次復(fù)制到你的服務(wù)器(例如通過SCP)來重新進行mtime檢查?？梢酝ㄟ^設(shè)置環(huán)境量：?PCC_DISABLE_MTIME=1，比如在apache的.htaccess文件中設(shè)置SetEnv PCC_DISABLE_MTIME 1來禁用mtime檢查。

來源IP檢查：默認(rèn)情況下，只有l(wèi)ocalhost (127.0.0.1 和 ::1)才能訪問這個腳本。其他主機可以通過在PCC_ALLOW_IP中添加IP地址或者通配符表達式的方式來訪問腳本，比如在.htaccess文件中設(shè)置SetEnv PCC_ALLOW_IP 10.0.0.*。你還可以選擇通過SSH端口轉(zhuǎn)發(fā)訪問您的web服務(wù)器， 比如?ssh -D?或者?ssh -L。

可以通過github下載第一個完整的開發(fā)版：?https://github.com/sektionein...

如果有好的建議或者遇到bug請給我們提issue：

HTML輸出的列表是根據(jù)問題嚴(yán)重性排序的，通過顏色代碼的形式列出了所有建議。列表頂部的狀態(tài)行會顯示問題的數(shù)量。

這個工具只能用來支持你搭建一個安全的PHP環(huán)境，做不了其他事。你的設(shè)置、軟件或任何相關(guān)的配置可能仍然是脆弱的，即使該工具的輸出表明情況并非如此。

文章轉(zhuǎn)自：https://learnku.com/php/t/27016 

更多文章：https://learnku.com/laravel/c...