htaccess-owner是www-data,这样安全吗?

时间:2017-09-25 09:35:03

标签: security webserver

我用PHP编写了我的htaccess文件,现在我已经读过,这是一个scurity问题,因为当文件是通过PHP创建的时候,htaccess文件的所有者是www-data。

我还创建了一个包含mysql-creditentials的config.php ..这也是www-data然后..

我的问题是,这真的是一个安全问题吗?怎么可能被利用?

1 个答案:

答案 0 :(得分:0)

如果.htaccess可由PHP写入,因为在您的情况下是有目的的,这意味着如果任何人能够利用您的PHP代码中的任何安全问题,他们可能能够写入.htaccess文件,这可能会给他们更有利于执行更多任意代码。

例如,一些易受攻击的文件上传PHP代码被欺骗编写.htaccess文件,该文件将Apache配置为以PHP格式执行.jpg文件;然后另一个实际包含PHP代码的上传JPG文件保存到webroot文件夹中,现在它可以作为PHP代码执行。 Etvoilà,任意PHP代码执行。

另一个不错的方案是重写规则将您的服务器转变为反向代理,将请求转发给其他服务器并向第三方提供一些DDoS攻击。

关键在于您的Web服务器通过其配置获得了很大的功能,并且.htaccess文件允许您更改该配置,并允许PHP更改.htaccess文件移动该功能并负责将该功能正确地用于PHP。这意味着您现在需要100%确定您的PHP代码中没有可利用的错误,这可能导致某人滥用该权限。

分离权力并尽可能减少个别力量总是更好。对于您在那里尝试做的任何事情,可能有更好的方法,不需要通过以编程方式生成.htaccess文件来动态重新配置Web服务器。