1
試圖找出用戶'_www'在我的OS X服務器上有什麼權限。我需要確定它是否具有root訪問權限,是否可以訪問任何系統文件,或者是否可以訪問Writes的標準頂級「網站」目錄。_www有什麼權限?
A
回答
3
好了,你可以看看/etc/group看到_www所屬團體:
$ grep _www /etc/group
_www:*:70:_devicemgr,_teamsserver
在一個正確配置的服務器,運行的web服務器作爲專用用戶的整點是限制用戶的權限別處。但是,訪問文件系統的Web應用程序代碼能夠在服務器的DocumentRoot之外讀取。
因此,如果應用程序代碼在讀取文件系統時無法防止這種情況發生,那麼任何不屬於_www的文件在理論上都可以被_www讀取,但它對文件的父目錄具有讀取權限和執行權限。同樣,如果應用程序代碼提供對它們的訪問權限,那麼文件系統上其他可寫的文件可以由Web服務器修改。
這些問題是可利用的當應用程序使用用戶輸入以產生用於讀取或寫入的文件的路徑,但無法防止像輸入:../../../../../../../../../,當可能再加上一個NULL byte injection可能產生的文件名中應用程序等
/www/application/phptemplates/../../../../../../../../../../etc/passwd
當然,在現代系統中,/etc/passwd實際上並不存儲密碼,但它可能向潛在的攻擊者顯示本地用戶和其他有價值的信息。
相關問題
- 1. 我有什麼權限?
- 2. Symfony2的權限在Mac上:要麼阿帕奇_www或我的用戶可以
- 3. 爲什麼Django沒有查看權限?
- 4. PHP腳本/目錄有什麼權限?
- 5. 我對數據庫有什麼權限
- 6. 什麼權限應在gitolite
- 7. Linux權限,什麼是X?
- 8. subprocess.Popen需要什麼權限?
- 9. 缺少什麼權限?
- 10. 什麼是wakelock,它與權限有什麼關係?
- 11. Docker正在更改文件所有權和權限,爲什麼?
- 12. 權限有限
- 13. 權限有限
- 14. Android Map V2 - 爲什麼MAPS_RECEIVE權限
- 15. 什麼會報告帳戶的權限?
- 16. MS DNS WMI API需要什麼權限?
- 17. 什麼是file_put_contents設置爲權限?
- 18. 爲什麼Android會忽略READ_SMS權限?
- 19. 什麼是SIGKILL權限策略?
- 20. 什麼是WPF中包URI的權限?
- 21. Orchard CMS需要什麼權限?
- 22. 需要什麼權限的PHP?
- 23. 爲什麼start-stop-daemon需要權限?
- 24. 爲什麼要添加READ_PHONE_STATE權限?
- 25. pinterest擴展manifest.json的權限是什麼?
- 26. Android權限:誰在使用什麼?
- 27. pgpool-II的health_check_user需要什麼權限?
- 28. 無法升級點。沒有權限。爲什麼?
- 29. 所有這些權限是什麼意思?
- 30. Linux,C:access()沒有捕獲權限問題,或者其他什麼
通常只有root擁有'root'。 – KingCrunch 2012-02-20 18:55:12