您好o刚注意到我的SHELL帐户在共享主机上我可以基本列出所有当前活动的PHP会话(我可以通过ls ../../ tmp列出它们。)
此外,我还可以列出所有用户(尽管没有密码)
这是正常的吗?
答案 0 :(得分:1)
列出活动会话文件不同于能够读取实际文件本身的内容,第一个是cons of shared hosting,第二个是服务器配置错误。
文件 / etc / passwd 不再存储安全敏感信息,只是用户可以查看自己的数据,因此需要公开阅读。密码存储在 shadow 文件中,这些文件不是世界可读的。