Mikä on tietoturvaongelma, jota Options FollowSymLinks käytetään Apache-määrityksissä?

Olemme käytä seuraavaa kokoonpanoa:

AllowOverride None Options None FollowSymLinks 

Vastaa

Jos otat käyttöön symbolisen linkkejä, ja hyökkääjä saa pääsyn mihinkään, mikä antaa hänelle mahdollisuuden luoda mielivaltaisia tiedostoja verkkopalvelimellesi, hän voi sitten luoda symbolisia linkkejä mihin tahansa järjestelmässä olevaan tiedostoon (esim. /etc/passwd, tietokantojen kokoonpanotiedostot) , …)

Kommentit

  • Siksi ongelman vakavuus ei voi olla korkea: " hyökkääjä saa pääsyn mihinkään, jolloin hän voi luoda mielivaltaisia tiedostoja verkkopalvelimellesi "
  • riippuu siitä, mitä määrität nimellä ' korkea '. Pääsy salasanatiedostoon voi johtaa siihen, että hyökkääjä pääsee koneeseen. Tietokannan salasanan saaminen voi antaa hänelle mahdollisuuden poistaa kaikki tietueesi. Sitä ei voida pitää ' vähäriskisenä ' minulla.
  • Olen kanssasi samaa mieltä. Tarkoitan, että alkuperäinen käyttöoikeus ei ole yksinkertainen.
  • Sen tekeminen on suhteellisen helppoa, mikä sallii sen.
  • Joten sinun pitäisi tai ei pidä käyttää tätä direktiiviä

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *