3
我的問題是比理論,而不是實際,但我認爲你可以回答它:)鬆散的目錄/文件權限:陷阱,安全問題?
公用文件夾/文件具有像777權限時,主要(安全)問題是什麼? 任何人都可以利用配置不當的文件權限?任何人都可以通過http使用這個弱點嗎?
讓一個文件夾可寫入httpd和ftp都是不好的做法嗎?
由於提前, FABRIK
A
回答
4
簡短的回答是:不這樣做。
長的答案是:這取決於。
這一切都取決於如何使用這個文件,甚至如何使用系統本身。如果它是一個沒有人想讀的文件,那麼任何人都可以寫入它並不重要。另一方面,如果它是由服務器執行的文件(PHP,Perl腳本等)或發送到客戶端(模板,HTML,JavaScript),則攻擊者可以在其中放置任意惡意代碼以執行分別由服務器或客戶端進行。當然,攻擊者必須獲得一些訪問權限,因爲該系統的某些用戶可以寫入該文件。世界可寫文件只能寫入系統的用戶,因此理論上如果系統是您自己的機器或VPS(只有一個用戶) - 您 - 然後攻擊者必須訪問您的帳戶才能訪問寫入該文件,但如果他訪問您的帳戶,那麼世界可寫的文件是無關緊要的。除非他可以訪問一些低特權進程,像其他用戶一樣運行,那麼你就可以。
正如您所看到的,這完全取決於文件的使用方式,系統上的其他用戶和進程以及其他許多方面。經驗法則是永遠不要給任何人比他需要的更多特權來完成工作。
相關問題
- 1. 目錄/文件權限問題
- 2. joomla目錄權限問題
- 3. 文件權限安全apache
- 4. 安全django文件權限
- 5. 目的C不能寫入文件目錄的權限問題
- 6. 軟件陷阱vs硬件陷阱
- 7. 圖像安全和linux文件/目錄權限
- 8. 安卓:AlarmManager陷阱
- 9. 面向安全權限問題
- 10. 安全插入Pymongo權限問題
- 11. C#文件/目錄權限
- 12. Django的目錄權限配置問題
- 13. 從MS Access的空陷阱的陷阱
- 14. Scrapy擴展目錄權限問題
- 15. 通過PHP和權限問題創建目錄和文件
- 16. 文件權限問題javac
- 17. Silverlight文件權限問題
- 18. 大量的文件策略有目錄遍歷安全問題?
- 19. 複製文件安全權限
- 20. 用戶登錄的安全權限
- 21. .Net安全無限制的權限問題
- 22. 陷阱
- 23. Linux目錄權限問題(NPM的node_modules目錄)
- 24. pygame安裝權限問題
- 25. 目錄中的文件權限
- 26. 負責的文件和目錄權限
- 27. 捆綁軟件安裝權限問題
- 28. Coldfusion安全問題...如何隱藏文件目錄?
- 29. 散居的安全問題是什麼?
- 30. 設置安裝目錄的權限