Qual é o problema de segurança do Options FollowSymLinks na configuração do Apache?

Se você ativar o seguimento de simbólico links, e um invasor ganha acesso a algo que lhe permite criar arquivos arbitrários em seu servidor web, ele pode então criar links simbólicos para qualquer arquivo em seu sistema (por exemplo, /etc/passwd, arquivos de configuração de bancos de dados , …)

Comentários

• Portanto, a gravidade do problema não pode ser alta: " um invasor ganha acesso a algo que lhe permite criar arquivos arbitrários em seu servidor da web "
• Depende do que você define como ' alto '. Ter acesso ao arquivo de senha pode levar o invasor a obter acesso à máquina, ter a senha do banco de dados pode permitir que ele apague todos os seus registros. Não se qualifica como ' baixo risco ' para mim.
• Concordo com você. Quer dizer, o acesso inicial não é simples.
• É relativamente fácil cometer um erro que permita isso.
• Portanto, você deve ou não deve usar esta diretiva