Seguramente la mayorÃa que ha trabajado alguna vez con php conoce de la existencia de unos famosos huevos de pascua que se pueden visualizar agregando cierto valor al final de un archivo .php similar a esto:
http://php.net/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Los hay de todo tipo, pueden ver algunos otros aquÃ
Pero, para ir directo al grano, la pregunta es la siguiente:
Creen uds, que dichos huevos pueden representar una amenaza en particular para quienes permitan visualizar estos eggs?
Descartemos el hecho de que se pueda obtener la versión de php, ya que existen métodos mucho más fáciles y efectivos para eso, como los de inspeccionar los Response Headers de dichas páginas, donde no solo podrÃamos obtener la versión del php, sino también la del web server.
Nota: Si alguien no quiere permitir su visualización, solo ponga la variable expose_php=off en su archivo de configuración php.ini.
Saludos y como siempre espero poder contribuir con alguien al menos.
No comments:
Post a Comment