Wat is het beveiligingsprobleem om Options FollowSymLinks
te gebruiken in de Apache-configuratie?
We gebruik de volgende configuratie:
AllowOverride None Options None FollowSymLinks
Antwoord
Als je het volgen van symbolische links, en een aanvaller krijgt toegang tot iets waardoor hij willekeurige bestanden op uw webserver kan maken, hij kan dan symbolische links naar elk bestand op uw systeem maken (bijv. /etc/passwd
, configuratiebestanden van databases , …)
Opmerkingen
- Daarom kan de ernst van het probleem niet hoog zijn: " een aanvaller krijgt toegang tot iets waardoor hij willekeurige bestanden op uw webserver kan maken "
- Hangt af van wat u definieert als ' hoog '. Toegang hebben tot het wachtwoordbestand kan ertoe leiden dat de aanvaller toegang krijgt tot de machine, met het databasewachtwoord kan hij al uw records verwijderen. Het kwalificeert niet als ' laag risico ' voor mij.
- Ik ben het met je eens. Ik bedoel, de eerste toegang is niet eenvoudig.
- Het is relatief gemakkelijk om een fout te maken die het toelaat.
- Dus moet je deze richtlijn wel of niet gebruiken