网络破解者需要读取权限才能销毁UNIX服务器
问题描述:
在UNIX中,如果我给网站成员间接写入文件的权限,请从文件中读取数据,但通过cgi,安全风险是什么?网络破解者需要读取权限才能销毁UNIX服务器
像这样:
正如你所看到的,只有CGI有权读取和写入文件。这似乎可以防止安全问题。
或AM I FOOLING MYSELF?
编辑:
这里是它的工作原理是: 1.用户输入有一个简单的<form>信息。 2.用户发送<form>到cgi。 3. cgi将<form>信息写入文件。
我想我主要担心的是用户在文件中嵌入了破坏性的exes。 但是,他们没有直接权限r/w文件。
也... ... 正是这个也只有这个文件,用户可以间接地写入
答
的安全问题依靠什么影响查看/编辑所述文件了。如果用户能够查看/etc/shadow(其中包含密码哈希),那么他们将能够尝试强制用户密码。如果他们也可以访问任何配置文件,则可能会公开登录详细信息和其他敏感信息。
如果执行得当,这个系统可以是安全的,但这将是一场艰苦的斗争,还有很多其他解决方案可能更适合您的需求。
用户无法查看任何内容。它是具有文件权限的CGI –
(查看我的编辑)... –
是的,我了解到,您只需确保用户无法读取/写入他们没有的文件权限。例如,他们可以读取一个文件,这个文件是他们在一个目录中的用户名,但是有人使用他们的用户名../../../../../../../etc/shadow,他们可能会读取密码散列文件。 –