-1
在UNIX中,如果我給網站成員間接寫入文件的權限,請從文件中讀取數據,但通過cgi
,安全風險是什麼?網絡破解者需要讀取權限才能銷燬UNIX服務器
像這樣:
正如你所看到的,只有CGI有權讀取和寫入文件。這似乎可以防止安全問題。
或AM I FOOLING MYSELF?
編輯:
這裏是它的工作原理是: 1.用戶輸入有一個簡單的<form>
信息。 2.用戶發送<form>
到cgi。 3. cgi將<form>
信息寫入文件。
我想我主要擔心的是用戶在文件中嵌入了破壞性的exes。 但是,他們沒有直接權限r/w文件。
也... ... 正是這個也只有這個文件,用戶可以間接地寫入
用戶無法查看任何內容。它是具有文件權限的CGI –
(查看我的編輯)... –
是的,我瞭解到,您只需確保用戶無法讀取/寫入他們沒有的文件權限。例如,他們可以讀取一個文件,這個文件是他們在一個目錄中的用戶名,但是有人使用他們的用戶名../../../../../../../etc/shadow,他們可能會讀取密碼散列文件。 –