松散的目录/文件权限:陷阱,安全问题?

时间:2011-03-09 13:53:29

标签: permissions security file-permissions

我的问题相当于理论而非实际,但我认为你可以回答它:)

公用文件夹/文件具有777等权限时的主要(安全)问题是什么? 如何才能利用配置不当的文件权限?任何人都可以通过http使用这个弱点吗?

将文件夹写入httpd和ftp都是不好的做法吗?

提前致谢, FABRIK

1 个答案:

答案 0 :(得分:4)

简短的回答是:不要那样做。

答案很长:它取决于。

这完全取决于该文件的使用方式,甚至是系统本身的使用方式。如果它是一个没有人想要阅读的文件,那么任何人都可以写入它并不重要。另一方面,如果它是由服务器执行的文件(PHP,Perl脚本等)或发送到客户端(模板,HTML,JavaScript),那么攻击者可以在那里放置任意恶意代码来执行分别由服务器或客户端。当然,攻击者必须获得一些访问权限,因为该系统的某个用户才能写入该文件。世界可写文件只能写入系统用户,因此从理论上讲,如果系统是您自己的机器或只有一个用户的VPS - 那么攻击者就必须能够访问您的帐户才能够写入该文件,但如果他可以访问您的帐户,那么该文件是世界可写的是无关紧要的。除非他获得某些低权限进程的访问权限,否则就像其他用户那样运行。

正如您所看到的,这完全取决于文件的使用方式,系统上的其他用户和进程以及许多其他内容。经验法则是永远不要给任何人比他完成工作所需的更多特权。