Qual è il problema di sicurezza nellusare Options FollowSymLinks nella configurazione di Apache?

Noi utilizza la seguente configurazione: 

AllowOverride None Options None FollowSymLinks

Answer

Se abiliti il seguente di simbolico e un utente malintenzionato ottiene laccesso a qualcosa che gli consente di creare file arbitrari sul tuo server web, potrebbe quindi creare collegamenti simbolici a qualsiasi file sul tuo sistema (ad esempio /etc/passwd, file di configurazione dei database , …)

Commenti

  • Pertanto la gravità del problema non può essere elevata: " un utente malintenzionato ottiene laccesso a qualcosa che gli consente di creare file arbitrari sul tuo server web "
  • Dipende da ciò che definisci come ' alto '. Avere accesso al file della password potrebbe portare laggressore ad ottenere laccesso alla macchina, avere la password del database può consentirgli di cancellare tutti i tuoi record. Non si qualifica come ' a basso rischio ' per me.
  • Sono daccordo con te. Voglio dire che laccesso iniziale non è semplice.
  • È relativamente facile commettere un errore che lo consenta.
  • Quindi dovresti o non dovresti usare questa direttiva

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *