您好 o 刚刚注意到,使用我在共享主机上的 SHELL 帐户,我基本上可以列出所有当前活动的 PHP 会话(我可以通过 ls ../../tmp 列出它们)。
我也可以列出所有用户(虽然没有密码)
正常吗?
问问题
51 次
1 回答
1
列出活动会话文件与能够读取实际文件本身的内容不同,第一个是共享主机的缺点,第二个是服务器配置错误。
文件/etc/passwd不再存储安全敏感信息,仅存储用户可以查看的关于他们自己的数据,因此需要公开可读。密码存储在不可读的影子文件中。
于 2013-07-03T06:42:17.870 回答