La nueva configuración del servidor y la administración del servidor decidieron que phpinfo daba demasiado miedo. Supongo que el temor es que un hacker pueda obtener phpinfo () para ejecutarse desde php inyectado y descubrir todas las extensiones instaladas, sus versiones, etc. Pero, como desarrollador, es bueno saber todas las extensiones y sus versiones. , etc. ¿Es phpinfo una amenaza real? ¿O es esto simplemente una precaución demasiado entusiasta?
En el pasado ha habido explotaciones que utilizan la página phpinfo() , usando algunos servidores globales que son var_dump() 's al generar información variable.
Esta información simplemente se suma a lo que Webtoe tiene que decir, pero es otra superficie de ataque de la que deberías estar cansado cuando consideras si tus usuarios realmente necesitan phpinfo() acceso.
Normalmente, esto se hace ya que los administradores del sistema no aprecian contarle a todo el mundo las versiones de software que están ejecutando. La seguridad a través de la oscuridad no es un medio válido para proteger los servidores, pero, a la inversa, no tiene sentido decirle a los "chicos malos" cuál es la versión defectuosa de un software que está ejecutando. Necesitan trabajar por sus hazañas.
Para usuarios autorizados, la información de phpinfo debe ser fácilmente accesible desde otras fuentes.
Es seguridad a través de la oscuridad.
La seguridad a través de la oscuridad no es de ninguna manera una defensa principal para proteger sus sistemas. Debido a que su sistema tiene menos información para mostrar, usted es un objetivo menos interesante para los atacantes. Esto no significa que no lo intentarán, pero tendrán que esforzarse mucho más.