在我的 CMS 中,我有一个 PHP 脚本,可以打开一个 .htm 文件进行写入 - fopen('footer.htm', 'w+')。这适用于在 footer.htm 上设置为 666 的文件权限,但如果设置为 664 则不起作用。
我是否通过将公共权限设置为“写入”而使该文件容易被滥用或黑客攻击?
我正在使用 Apache 虚拟服务器。
问问题
57 次
1 回答
1
那要看。
要修改文件,攻击者必须能够在服务器上执行某种代码,例如拥有 shell 访问权限。如果是这种情况,许可是您最小的问题。
如果您在共享托管环境中(您不认识的其他客户使用您的网络服务器),如果您的提供商没有设置他们的安全权限并且他们知道路径,这些其他用户也可能会更改文件。
设置 666 权限并不是最佳实践。然而,大多数此类攻击都发生在您的网络服务器上,因此限制权限并不能解决问题,因为服务器需要具有写入权限。
所以你可以做什么:将模式更改为 664 并将组更改为正在运行的网络服务器的组 - 其他用户可能仍然具有使用网络服务器的写入权限。
你应该做什么:确保没有恶意代码写入该文件。如果我找到这样的代码,我很有信心找到一个持久的跨站点脚本漏洞。
于 2013-07-18T17:06:41.867 回答