Типовая проблема

Debug endpoint открыт публично

Severity: Высокий

Debug-маршруты (/debug, /phpinfo, /info, /_profiler, /actuator, /status) предназначены для разработчиков и должны быть закрыты в продакшн. Если они доступны публично, раскрывают внутреннюю конфигурацию сервера.

Проверить мой сайт

Симптомы

  • GET /phpinfo.php или /info.php возвращает phpinfo()
  • GET /_profiler возвращает Symfony profiler
  • GET /actuator/env возвращает переменные окружения Spring Boot
  • AuditGuard: finding 'Debug endpoint exposed'

AuditGuard обнаруживает эту проблему автоматически.

Почему это риск

Debug-маршруты раскрывают: версии PHP, Apache/nginx, модулей; пути к файлам на сервере; переменные окружения; конфигурацию БД; stack traces с именами файлов и строками кода. Эта информация помогает злоумышленнику точно настроить атаку.

Как исправить

Шаг 1

Удалите phpinfo.php, info.php, test.php из webroot

Шаг 2

Закройте /_debug, /_profiler через nginx: location ~ ^/(_debug|_profiler) { deny all; }

Шаг 3

Для Spring Boot: management.endpoints.web.exposure.exclude=*

Шаг 4

Отключите debug-режим в production: APP_DEBUG=false, DEBUG=False

Шаг 5

Проверьте наличие стандартных debug-файлов: adminer.php, phpMyAdmin

Как AuditGuard обнаруживает проблему

AuditGuard проверяет список типовых debug-путей (50+) и анализирует HTTP-ответы на признаки debug-информации.

Проверьте ваш сайт прямо сейчас

AuditGuard находит эту проблему и 340+ других автоматически. Результат — за 2–5 минут.

Запустить аудит