nicht angemeldet
Feststellen ob auf einem fremden Server PHP installiert ist?
AugeHallo,
kann man feststellen ob auf einem Server auf dem man keinen Zugang via FTP o.Ä. hat, PHP installiert ist?
Manchmal sendet der Header ja z.B. 'X-Powered-By PHP/5.2.4'. Weiß jemand ob das immer so ist?
Gruß
-
Tach.
kann man feststellen ob auf einem Server auf dem man keinen Zugang via FTP o.Ä. hat, PHP installiert ist?
Mit Sicherheit kann Dir das eigentlich nur ein Benutzer/der Admin des Servers sagen. Wer nicht möchte, daß die Verwendung von PHP von außen so einfach zu erkennen ist, kann die üblichen Randerscheinungen auch "verstecken".
Manchmal sendet der Header ja z.B. 'X-Powered-By PHP/5.2.4'. Weiß jemand ob das immer so ist?
Nein, das kann man abstellen bzw. auch ohne verfügbares PHP mitsenden. Es dürfte aber relativ selten vorkommen, daß jemand diesen Header absichtlich sendet, ohne daß PHP tatsächlich auf dem Server läuft. Wesentlich seltener als ein fehlender Header bei vorhandenem PHP. ;)
--
Once is a mistake, twice is Jazz.
-
kann man feststellen ob auf einem Server auf dem man keinen Zugang via FTP o.Ä. hat, PHP installiert ist?
Manchmal sendet der Header ja z.B. 'X-Powered-By PHP/5.2.4'. Weiß jemand ob das immer so ist?Das kann man nicht mit Sicherheit sagen. Ein Server ist ja in der Regel eine Blackbox, die nur über die Anfragen und deren Antworten mit einem Client in Verbindung tritt. Prinzipiell kann man sogar nichtmal sagen, was für ein Server irgendwo läuft oder welches Betriebssystem verwendet wird. Zumindest nicht mit Sicherheit.
--
Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.
Self-Code: sh:( ch:? rl:( br:> n4:( ie:{ mo:) va:) de:> zu:} fl:| ss:| ls:~ js:| -
Hi,
Manchmal sendet der Header ja z.B. 'X-Powered-By PHP/5.2.4'. Weiß jemand ob das immer so ist?
Nein, dem ist nicht so.
Der Header wird standardmäßig beim Aufruf von PHP-Seiten gesendet (die müssen ja ansonsten nicht als PHP-Seiten erkennbar sein - z.B. mit .html-Endung). Üblicherweise bleibt es auch bei dieser Standardkonfiguration.
Bei "meinen" Servern wird dieser Header aber z.B. entweder gar nicht gesendet, oder, wo dies nicht machbar war (auf Servern bei anderen Providern), mit einem anderen Wert gesendet, der nichts mit PHP zu tun hat.
Generell ist es IMHO empfehlenswert, solch "sensible" Informationen wie Versionsnummern *nicht* zu veröffentlichen. Man muß einem potentiellen Angreifer ja nicht unbedingt auf die Nase binden, welchen (vielleicht sogar noch nicht patchbaren) Exploit er für ein System versuchen muß (das freut einen z.B. immer, wenn Blogbesitzer immer frank und frei verkünden, was man konkret braucht, um ihr Wordpress-System zu hacken >;->).
Das ist zwar nicht das entscheidende Kriterium für die Sicherheit, aber man muß es bösen Buben ja nicht auch noch leichter machen ...
Gruß, Cybaer
--
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!-
Hallo
Generell ist es IMHO empfehlenswert, solch "sensible" Informationen wie Versionsnummern *nicht* zu veröffentlichen. Man muß einem potentiellen Angreifer ja nicht unbedingt auf die Nase binden, welchen (vielleicht sogar noch nicht patchbaren) Exploit er für ein System versuchen muß (das freut einen z.B. immer, wenn Blogbesitzer immer frank und frei verkünden, was man konkret braucht, um ihr Wordpress-System zu hacken >;->).
Das ist zwar nicht das entscheidende Kriterium für die Sicherheit, aber man muß es bösen Buben ja nicht auch noch leichter machen ...
Dahin gingen auch meine ersten Überlegungen. Wozu um alles in der Welt brauche ich die Information, welche Software auf einem fremden Server läuft? Darauf könnte Peter ja mal eingehen, wenn er mag.
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.2-
Hi
Dahin gingen auch meine ersten Überlegungen. Wozu um alles in der Welt brauche ich die Information, welche Software auf einem fremden Server läuft? Darauf könnte Peter ja mal eingehen, wenn er mag.
Oft wissen Kunden nicht, ob PHP auf ihrem Server installiert ist.
Und eine Website die auf einen Server geladen werden soll auf dem PHP installiert ist würde ich halt anders gestalten als wenn kein PHP zur Verfügung steht.
Also nicht illegales ;-)Gruß
-
Hello,
Oft wissen Kunden nicht, ob PHP auf ihrem Server installiert ist.
Und eine Website die auf einen Server geladen werden soll auf dem PHP installiert ist würde ich halt anders gestalten als wenn kein PHP zur Verfügung steht.Dann kann man sie doch bitten, eine kleine Datei mit
<?php ### info.php ###
phpinfo();
?>
hochzuladen. Und wenn sie das nicht selber können, machst Du das vermutlich doch sowieso für sie, dann kannst Du auch gucken...
Harzliche Grüße aus
Sankt Andreasberg
und Guten RutschTom
--
Nur selber lernen macht schlau
-
Hallo
Wozu um alles in der Welt brauche ich die Information, welche Software auf einem fremden Server läuft?
Oft wissen Kunden nicht, ob PHP auf ihrem Server installiert ist.
Mir ist zwar bekannt, dass die Frage nach den Vertragsunterlagen eines Hostingpakets stundenlange, hektische Betriebsamkeit auslösen kann, aber _das_ sollte auch ohne den von dir erfragten Zugriffsweg herauszubekommen sein. :-)
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.2
-
-
-