Care este problema de securitate de utilizat Options FollowSymLinks
în configurația Apache?
Noi utilizați următoarea configurație:
AllowOverride None Options None FollowSymLinks
Răspuns
Dacă activați urmărirea simbolică link-uri, iar un atacator obține acces la ceva care îi permite să creeze fișiere arbitrare pe serverul dvs. web, el ar putea crea apoi linkuri simbolice către orice fișier din sistemul dvs. (de exemplu, /etc/passwd
, fișiere de configurare ale bazelor de date , …)
Comentarii
- Prin urmare, gravitatea problemei nu poate fi ridicată: " un atacator obține acces la ceva care îi permite să creeze fișiere arbitrare pe serverul dvs. web "
- Depinde ceea ce definiți ca ' high '. Accesul la fișierul cu parolă ar putea duce atacatorul să aibă acces la mașină, dacă parola bazei de date îi poate permite să șteargă toate înregistrările dvs. Nu mă califică drept ' cu risc scăzut ' pentru mine.
- Sunt de acord cu dvs. Adică accesul inițial nu este simplu.
- Este relativ ușor să comiți o greșeală care să-i permită.
- Deci, ar trebui sau nu ar trebui să folosești această directivă