Was ist das Sicherheitsproblem bei der Verwendung von Options FollowSymLinks
in der Apache-Konfiguration?
Wir Verwenden Sie die folgende Konfiguration:
AllowOverride None Options None FollowSymLinks
Antwort
Wenn Sie das Folgen von Symbolik aktivieren Wenn ein Angreifer Zugriff auf etwas erhält, das es ihm ermöglicht, beliebige Dateien auf Ihrem Webserver zu erstellen, kann er symbolische Links zu jeder Datei auf Ihrem System erstellen (z. B. /etc/passwd
, Konfigurationsdateien von Datenbanken , …)
Kommentare
- Daher kann der Schweregrad des Problems nicht hoch sein: " Ein Angreifer erhält Zugriff auf etwas, mit dem er beliebige Dateien auf Ihrem Webserver erstellen kann. "
- Hängt davon ab, was Sie als ' high '. Der Zugriff auf die Kennwortdatei kann dazu führen, dass der Angreifer Zugriff auf den Computer erhält. Wenn er über das Datenbankkennwort verfügt, kann er alle Ihre Datensätze löschen. Es gilt für mich nicht als ' risikoarmes '.
- Ich stimme Ihnen zu. Ich meine, der anfängliche Zugriff ist nicht einfach.
- Es ist relativ einfach, einen Fehler zu machen, der dies zulässt.
- Also sollten Sie diese Anweisung verwenden oder nicht