在我的CMS中,我有一个PHP脚本打开.htm文件进行写入 - fopen('footer.htm','w +')。这适用于footer.htm上设置为666的文件权限,但如果设置为664则不起作用。
我是否通过设置“写入”的公共权限将此文件保留为滥用或黑客行为?
我正在使用Apache虚拟服务器。
答案 0 :(得分:1)
这取决于。
要修改文件,攻击者必须能够在服务器上执行某种代码,例如:有shell访问权限。如果是这种情况,许可是您最小的问题。
如果您在共享托管环境(您不知道使用您的网络服务器的其他客户),这些其他用户可能也可以更改文件,如果您的提供商没有设置他们的安全权并且他们知道路径。
设置666权限并不是最佳做法。但是,大多数此类攻击都发生在您的Web服务器上,因此重新授权权限并不能解决问题,因为服务器需要具有写访问权。
那么你可以做什么: 将模式更改为664并将组更改为正在运行的Web服务器的组 - 其他用户可能仍然使用Web服务器具有写访问权。
你应该做什么: 确保没有恶意代码写入该文件。如果我找到这样的代码,我非常有信心找到一个持久的跨站点脚本漏洞。