Apache構成でOptions FollowSymLinksを使用する場合のセキュリティ上の問題は何ですか?

次の構成を使用します。

AllowOverride None Options None FollowSymLinks

回答

シンボリックのフォローを有効にする場合リンクすると、攻撃者は何かにアクセスしてWebサーバー上に任意のファイルを作成できるようになり、システム上の任意のファイル(/etc/passwd、データベースの構成ファイルなど)へのシンボリックリンクを作成できます。 、…)

コメント

  • したがって、問題の重大度を高くすることはできません:"攻撃者は何かにアクセスして、Webサーバー上に任意のファイルを作成できるようにします"
  • ' high '。パスワードファイルにアクセスできると、攻撃者がマシンにアクセスする可能性があります。データベースパスワードを持っていると、攻撃者はすべてのレコードを削除できる可能性があります。私にとっては、'低リスク'とは見なされません。
  • 同意します。つまり、最初のアクセスは単純ではありません。
  • それを許可する間違いを犯すのは比較的簡単です。
  • したがって、このディレクティブを使用するか、使用しないか

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です