Hva er sikkerhetsproblemet med Options FollowSymLinks i Apache-konfigurasjonen?

Hvis du aktiverer følgende av symbolsk koblinger, og en angriper får tilgang til noe som tillater ham å lage vilkårlige filer på webserveren din, han kan da opprette symbolske lenker til hvilken som helst fil på systemet ditt (f.eks. /etc/passwd, konfigurasjonsfiler i databaser , …)

Kommentarer

• Derfor kan ikke alvorlighetsgraden av problemet være høy: " en angriper får tilgang til noe som tillater ham å lage vilkårlige filer på webserveren din "
• Avhenger av hva du definerer som ' høy '. Å ha tilgang til passordfilen kan føre til at angriperen får tilgang til maskinen. Å ha databasepassordet kan tillate ham å slette alle postene dine. Det kvalifiserer ikke som ' lav risiko ' for meg.
• Jeg er enig med deg. Jeg mener den opprinnelige tilgangen ikke er enkel.
• Det er relativt enkelt å gjøre en feil som tillater det.
• Så bør du eller bør du ikke bruke dette direktivet