Mi a biztonsági probléma az Options FollowSymLinks használatával az Apache konfigurációjában?
Mi használja a következő konfigurációt:
AllowOverride None Options None FollowSymLinks Válasz
Ha engedélyezi a szimbolikus követését linkeket, és a támadó hozzáférést kap valamihez, így tetszőleges fájlokat hozhat létre a webszerveren, majd létrehozhat szimbolikus linkeket a rendszer bármely fájljához (pl. /etc/passwd, az adatbázisok konfigurációs fájljaihoz) , …)
Megjegyzések
- Ezért a probléma súlyossága nem lehet magas: " a támadó hozzáférést kap valamihez, így tetszőleges fájlokat hozhat létre a webszerveren "
- Attól függ, hogy mit definiál ' high '. Ha hozzáfér a jelszófájlhoz, a támadó hozzáférhet a géphez, az adatbázis jelszavával pedig az összes rekordját törölheti. Nem minősül számomra ' alacsony kockázatú ' nek.
- Egyetértek veled. Úgy értem, hogy a kezdeti hozzáférés nem egyszerű.
- Viszonylag könnyű hibát elkövetni, amely lehetővé teszi.
- Tehát kell-e vagy nem használja ezt az irányelvet