有没有办法知道Apache版本,PHP版本和PHP库等是否可用于网站,而无法访问服务器。 我正在寻找像phpinfo,但没有访问说。
如果不可能,下一个最好的事情是什么? 我听说可以使用标题,但不知道如何。
谢谢
这基本上是黑客,因为你没有访问权限,所以我可以从技术上考虑的唯一方法就是使用代码注入。
另一种可能不那么聪明的方法是通过电子邮件向服务器的pipe理员(或托pipe公司)询问:-)。
您将从Server HTTP标头获取一些信息。 例如,我们的Web服务器显示
Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 mod_jk/1.2.26 PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/0.9.8g mod_perl/2.0.4 Perl/v5.10.0 您可以使用像SEOConsultants的Check Server Headers Tool或netcat这样的程序来检查 :
yourhost:~% nc someserver.com.au 80 GET /asdf HTTP/1.0 Host: someserver.com.au HTTP/1.1 404 Not Found Date: Wed, 28 Oct 2009 11:49:27 GMT Server: Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 ... Last-Modified: Tue, 27 Oct 2009 12:49:03 GMT Content-Type: text/html Connection: close <html> ...
请注意,这些信息可能会被服务器pipe理员遮蔽或取代。
这取决于你的意思是“无法访问”。 如果你的意思是说你只能像普通用户一样浏览网站,那么不行,没有。
其中一些信息可能会暴露在头文件中,例如,Apache可以将其版本放入HTTP头文件中,但即使这样做也经常被禁用。
请注意,许多人认为公开版本和configuration信息是一种安全风险(因为它可以更轻松地定位特定版本/configuration中的漏洞),所以这些信息甚至有可能被禁用。