Die Verwendung einer `info.php`-Datei auf einem Webserver kann Sicherheitsrisiken mit sich bringen, insbesondere wenn diese Datei nicht ordnungsgemäß konfiguriert oder abgesichert ist. Hier sind einige potenzielle Risiken:

  1. Sensibler Informationsaustausch: Eine `info.php`-Datei kann sensible Informationen über den Server preisgeben, wie z. B. installierte PHP-Versionen, Konfigurationseinstellungen und installierte Erweiterungen. Diese Informationen könnten von Angreifern genutzt werden, um gezielte Angriffe auf bekannte Sicherheitslücken oder Schwachstellen durchzuführen.
  2. Exposition von Dateisystempfaden: Wenn die `info.php`-Datei nicht korrekt konfiguriert ist, kann sie auch Dateisystempfade des Servers preisgeben. Dies könnte Angreifern helfen, potenzielle Zielpfade für Angriffe zu identifizieren oder sensible Dateien auf dem Server zu lokalisieren.
  3. Remote Code Execution (RCE): Eine unsachgemäß konfigurierte `info.php`-Datei könnte es Angreifern ermöglichen, Code auf dem Server auszuführen. Dies könnte zu schwerwiegenden Sicherheitsverletzungen führen, einschließlich der vollständigen Kompromittierung des Servers.
  4. Angriffsvektor für Exploits: Angreifer könnten eine `info.php`-Datei nutzen, um Schwachstellen im PHP-Interpreter oder anderen auf dem Server installierten Softwarekomponenten zu identifizieren. Diese Informationen könnten dann als Grundlage für die Entwicklung und den Einsatz von Exploits dienen.
  5. Information Gathering für Social Engineering: Die Informationen, die durch eine `info.php`-Datei preisgegeben werden, könnten auch für Social Engineering-Angriffe genutzt werden, indem sie dazu verwendet werden, gezielte Phishing- oder Betrugsversuche zu unterstützen.

Um diese Risiken zu minimieren, sollten `info.php`-Dateien streng kontrolliert und abgesichert werden. Es ist wichtig sicherzustellen, dass nur die minimal erforderlichen Informationen preisgegeben werden und dass die Datei nur von autorisierten Benutzern oder Administratoren zugänglich ist. Es wird empfohlen, die Datei nach der Nutzung zu entfernen oder sie in einer Umgebung zu betreiben, die nicht öffentlich zugänglich ist. Alternativ können Sie die PHP z.B. mittels von `.htaccess` oder direkt über die Webserver Konfiguration einschränken bzw. deaktivieren


info.php mittels .htaccess einschränken:

.htaccess
<Files info.php>
 Order Deny,Allow
 Deny from all
</Files>
  • Keine Stichwörter