PhpSecInfo – быстрая проверка безопасности сервера


Если вы начинающий веб разработчик и хотите проверить настройки своего веб сервера на основные уязвимости, то лучше всего обратиться к каким ни будь знакомым, у которых будет побольше опыта, чем у вас. Но если таковых нет, или вы им просто не доверяете, тогда можете сами себя проверить при помощи маленькой утилиты PhpSecInfo.

Она весит несколько килобайт и показывает основные уязвимости веб сервера. Так же дает дельные советы по устранению этих уязвимостей.

Вообще, в идеале этого мало, но все же, если вы начинающий программист и плохо себе представляете за что отвечаю эти параметры, то, наверное, вам большего и не надо, до тех пор пока не разберётесь хотя бы с этим.

Скачать утилиту можно здесь или на официальном сайте.

После этого распаковывайте и заливайте на сервер. Заходим в папку, в которую залили программу и видим что-то подобное:

Сразу в глаза бросаются три зоны: красная, оранжевая и зелёная.

Они оповещают о следующем:

  1. Красная – опасные уязвимости. Необходимо их устранить. Тут же даются рекомендации как их устранять.
  2. Оранжевые – не смертельные уязвимости. Желательно их исправить.
  3. Зелёные означают что все хорошо, и беспокоиться не стоит.

Теперь посмотрим в файл index.php. Если повнимательнее посмотреть его то мы увидим что есть 3 способа запуска проверки:

Первый способ самый простой.

<?
require_once('PhpSecInfo/PhpSecInfo.php');
phpsecinfo();
?>

Из кода выше видно что мы просто подключаем сам класс утилиты, а затем выполняет функцию phpsecinfo(). Она сама уже выполняет все проверки и выводит результат проверки сервера на уязвимости на экран в отформатированном виде.

Второй способ немного поинтереснее:

<?
require_once('PhpSecInfo/PhpSecInfo.php');
$psi = new PhpSecInfo();
$psi->loadAndRun();
echo "<pre>";
echo print_r($psi->getResultsAsArray(), true);
echo "</pre>";
?>

Тут стоит обратить внимание на строчку echo print_r($psi->getResultsAsArray(), true).  Сразу становится понятно что метод getResultsAsArray() возвращает все эти тесты в виде ассоциативного массива. После этого мы просто выводим его на экран обрамленным в теги <pre>. Данный способ хорош тем, что далее мы сами можем работать с библиотекой как угодно. Можем даже писать свои классы, базирующиеся на безопасности сервера.

Третий способ вытекает из второго.

<?
require_once('PhpSecInfo/PhpSecInfo.php');
$psi = new PhpSecInfo();
$psi->loadAndRun();
echo $psi->getOutput();
?>

Он делает тоже самое что и второй, только выводит результаты тестирования не в массив, а оформляет его HTML тегами как в первом способе. По сути, первый способ - это и есть третий, только все упаковано в одну функцию.

Ещё раз повторюсь что это проверка только основных уязвимых параметров веб сервера, но знать о них все же необходимо. 

 


Тэги:

Комментарии: 0

Прокомментировать »

 
 
 

Прокомментировать

 
 
Сообщение *
 
Проверочный код *
 
 
 
Яндекс.Метрика