网站爆出phpinfo的解决方法和危害说明

1、既然访问 域名+?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 会爆出phpinfo信息，那么我就能要从php下手，先看下（下面图）上的信息，有没有可疑的设置。在正常环境下是不需要改动的。

3、知道phpinfo就能利用漏洞代码进行攻击，这个对一个站点或者整个服务器是非常危险的。漏洞利用代码：<html> <head> <META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </head> <body> <iframe src="http://域名/phpinfo.php? ADw-SCRIPT AD4-alert(document.domain); ADw-/SCRIPT AD4-=1">

4、危害：以上代码在IE7 php 5.2.6测试成功。phpinfo页面的xss甚至比其他页面更加危险，因为如果有phpinfo的存在，恶意攻击者可以利用phpinfo的输出bypass如httponly和一些基础认证。 最好在配置应用程序的时候用安全工具检测一下自己的环境。

6、解决方法爆出phpinfo的方法：通过修改服务器环境内php.ini文件。找到：expose_php=On 修改成：expose_php=Off 然后重启php即可。修改位置可以批量查找”expose_php“。（如下图）找到修改即可。