Jaki jest problem z bezpieczeństwem w Options FollowSymLinks w konfiguracji Apache?

Jeśli włączysz śledzenie symbolicznych linki, a atakujący uzyska dostęp do czegoś, co pozwala mu tworzyć dowolne pliki na Twoim serwerze internetowym, może wtedy tworzyć dowiązania symboliczne do dowolnego pliku w Twoim systemie (np. /etc/passwd, pliki konfiguracyjne baz danych , …)

Komentarze

• Dlatego powaga problemu nie może być duża: " atakujący uzyskuje dostęp do czegoś, co pozwala mu tworzyć dowolne pliki na Twoim serwerze internetowym "
• Zależy od tego, co zdefiniujesz jako ' high '. Posiadanie dostępu do pliku haseł może doprowadzić napastnika do uzyskania dostępu do komputera, a posiadanie hasła bazy danych może pozwolić mu na usunięcie wszystkich twoich rekordów. Nie kwalifikuje się jako ' niskiego ryzyka ' dla mnie.
• Zgadzam się z tobą. Chodzi mi o to, że początkowy dostęp nie jest prosty.
• Jest stosunkowo łatwo popełnić błąd, który na to pozwala.
• Więc czy powinieneś używać tej dyrektywy, czy nie.