Quel est le problème de sécurité à utiliser Options FollowSymLinks dans la configuration Apache?

Nous utilisez la configuration suivante: 

AllowOverride None Options None FollowSymLinks

Réponse

Si vous activez le suivi des symboles et un attaquant accède à quelque chose lui permettant de créer des fichiers arbitraires sur votre serveur web, il pourrait alors créer des liens symboliques vers nimporte quel fichier de votre système (ex. /etc/passwd, fichiers de configuration des bases de données , …)

Commentaires

  • Par conséquent, la gravité du problème ne peut pas être élevée: " un attaquant accède à quelque chose lui permettant de créer des fichiers arbitraires sur votre serveur Web "
  • Cela dépend de ce que vous définissez comme ' élevé '. Avoir accès au fichier de mots de passe pourrait conduire lattaquant à accéder à la machine, avoir le mot de passe de la base de données peut lui permettre de supprimer tous vos enregistrements. Cela ne correspond pas à ' faible risque ' pour moi.
  • Je suis daccord avec vous. Je veux dire que laccès initial nest pas simple.
  • Il est relativement facile de faire une erreur qui lautorise.
  • Alors devriez-vous ou ne devriez pas utiliser cette directive

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *