Apache 구성에서 Options FollowSymLinks
를 사용하기위한 보안 문제는 무엇입니까?
다음 구성을 사용하십시오.
AllowOverride None Options None FollowSymLinks
Answer
기호 공격자는 웹 서버에 임의의 파일을 생성 할 수있는 무언가에 대한 액세스 권한을 얻은 다음 시스템의 모든 파일에 대한 심볼릭 링크 (예 : /etc/passwd
, 데이터베이스 구성 파일)를 생성 할 수 있습니다. , …)
댓글
- 따라서 문제의 심각도는 높을 수 없습니다. " 공격자는 웹 서버에 임의의 파일을 생성 할 수있는 무언가에 액세스 할 수 있습니다. "
- ' 높음 '. 암호 파일에 액세스하면 공격자가 시스템에 액세스 할 수 있으며 데이터베이스 암호를 사용하면 모든 기록을 삭제할 수 있습니다. 저에게 ' 저 위험 '에 해당하지 않습니다.
- 동의합니다. 초기 액세스가 간단하지 않다는 의미입니다.
- 실수를 허용하는 것은 상대적으로 쉽습니다.
- 이 지시문을 사용하거나 사용하지 않아야합니다.