Vad är säkerhetsproblemet att använda Options FollowSymLinks i Apache-konfigurationen?

Vi använd följande konfiguration:

AllowOverride None Options None FollowSymLinks 

Svar

Om du aktiverar följande symboliska länkar, och en angripare får tillgång till något som gör det möjligt för honom att skapa godtyckliga filer på din webbserver, han kan sedan skapa symboliska länkar till vilken fil som helst i ditt system (t.ex. /etc/passwd, konfigurationsfiler i databaser , …)

Kommentarer

  • Problemets svårighetsgrad kan därför inte vara hög: " en angripare får tillgång till något som gör att han kan skapa godtyckliga filer på din webbserver "
  • Beror på vad du definierar som ' hög '. Att ha tillgång till lösenordsfilen kan leda till att angriparen får åtkomst till maskinen. Att ha databaslösenordet kan göra det möjligt för honom att ta bort alla dina poster. Det kvalificerar inte som ' låg risk ' för mig.
  • Jag håller med dig. Jag menar att den initiala åtkomsten inte är enkel.
  • Det är relativt lätt att göra ett misstag som tillåter det.
  • Så bör du eller bör du inte använda detta direktiv

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *