Hvad er sikkerhedsproblemet for at bruge Options FollowSymLinks i Apache-konfigurationen?

Vi brug følgende konfiguration:

AllowOverride None Options None FollowSymLinks 

Svar

Hvis du aktiverer følgende af symbolsk links, og en angriber får adgang til noget, der giver ham mulighed for at oprette vilkårlige filer på din webserver, han kan derefter oprette symbolske links til enhver fil på dit system (f.eks. /etc/passwd, konfigurationsfiler i databaser , …)

Kommentarer

  • Derfor kan problemets sværhedsgrad ikke være høj: " en angriber får adgang til noget, der giver ham mulighed for at oprette vilkårlige filer på din webserver "
  • Afhænger af hvad du definerer som ' høj '. At have adgang til adgangskodefilen kan føre til, at angriberen får adgang til maskinen, idet databaseadgangskoden kan give ham mulighed for at slette alle dine poster. Det kvalificerer sig ikke som ' lav risiko ' for mig.
  • Jeg er enig med dig. Jeg mener, at den oprindelige adgang ikke er enkel.
  • Det er relativt let at begå en fejl, der tillader det.
  • Så skulle du eller skulle du ikke bruge dette direktiv

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *