文件权限和安全性

【问题标题】:File permissions and security文件权限和安全性
【发布时间】:2013-07-17 01:48:59
【问题描述】:

在我的 CMS 中,我有一个 PHP 脚本,可以打开一个 .htm 文件进行写入 - fopen('footer.htm', 'w+')。这适用于在 footer.htm 上设置为 666 的文件权限,但如果设置为 664 则不起作用。

我是否通过将公共权限设置为“写入”而使该文件容易被滥用或黑客入侵?

我正在使用 Apache 虚拟服务器。

【问题讨论】:

  • 文件/文件夹的所有者是运行 PHP 的用户吗?好像不是。

标签: file security permissions


【解决方案1】:

这取决于。

要修改文件,攻击者必须能够在服务器上执行某种代码,例如具有外壳访问权限。如果是这样的话,权限是你最小的问题。

如果您在共享托管环境中(您不认识的其他客户使用您的网络服务器),如果您的提供商没有设置他们的安全权限并且他们知道路径,这些其他用户也可能会更改文件。

设置 666 权限并不是最佳实践。然而,大多数此类攻击都发生在您的网络服务器上,因此限制权限并不能解决问题,因为服务器需要具有写入权限。

那么你可以做什么: 将模式更改为 664 并将组更改为正在运行的网络服务器的组 - 其他用户可能仍具有使用网络服务器的写入权限。

你应该做什么: 确保没有恶意代码写入该文件。如果我找到这样的代码,我很有信心找到一个持久的跨站点脚本漏洞。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2013-04-30
    • 2011-12-04
    • 1970-01-01
    • 2011-05-07
    • 1970-01-01
    • 2010-10-26
    • 2015-10-28
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode