Ngintip PHPINFO()

Seperti saya tulis dalam posting sebelumnya, beberapa hari lalu tim pengembang PHP telah merilis PHP versi 5.2 yang merupakan versi paling stabil dari seri 5.x. Banyak perbaikan dan penyempurnaan yang dilakukan oleh mereka, termasuk dan terutama dari sisi security. Oleh karena itu sangat dianjurkan bagi pemakai PHP, khususnya penyedia jasa hosting, untuk mengupgrade PHP mereka dengan versi 5.2 ini.

Bicara tentang hosting, sepertinya sudah menjadi kebiasaan programmer untuk memastikan apakah PHP yang diinstal penyedia jasa hosting mereka persis seperti yang diinginkan. Dan cara paling mudah untuk itu adalah menggunakan PHPINFO() seperti berikut:

<?php
  PHPINFO();
?>

Namun seringkali mereka lupa untuk menghapus file tersebut (atau sengaja?). Padahal search engine seperti Google atau Yahoo! punya bot yang bisa merekam apa saja, termasuk skrip PHPINFO() anda.

Memang skripnya sendiri tidak berbahaya, tapi seperti yang ditulis ilia, informasi yang ditampilkan akan menjadi berharga bagi hacker nakal yang ingin menyerang web site anda. Terutama anda yang menggunakan PHP versi lama yang masih rentan terhadap serangan XSS atau CSRF.

Coba saja query di Google atau Yahoo!. Atau tambahkan dengan site:.id untuk mengkhususkan pencarian pada domain .id seperti ini. Dari percobaan secara random bisa dikatakan hampir semuanya valid (bukan sekedar cache yang sudah tidak ada lagi).

Leave a comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.