網絡破解者需要讀取權限才能銷燬UNIX服務器

Question

在UNIX中，如果我給網站成員間接寫入文件的權限，請從文件中讀取數據，但通過cgi，安全風險是什麼？

像這樣：

正如你所看到的，只有CGI有權讀取和寫入文件。這似乎可以防止安全問題。

或AM I FOOLING MYSELF？

編輯：

這裏是它的工作原理是： 1.用戶輸入有一個簡單的<form>信息。 2.用戶發送<form>到cgi。 3. cgi將<form>信息寫入文件。

我想我主要擔心的是用戶在文件中嵌入了破壞性的exes。 但是，他們沒有直接權限r/w文件。

也... ... 正是這個也只有這個文件，用戶可以間接地寫入

Answer 1

的安全問題依靠什麼影響查看/編輯所述文件了。如果用戶能夠查看/etc/shadow（其中包含密碼哈希），那麼他們將能夠嘗試強制用戶密碼。如果他們也可以訪問任何配置文件，則可能會公開登錄詳細信息和其他敏感信息。

如果執行得當，這個系統可以是安全的，但這將是一場艱苦的鬥爭，還有很多其他解決方案可能更適合您的需求。