web kracker 是否需要读取权限才能破坏 UNIX 服务器
Does a web cracker need reading perrmission to destroy a UNIX server
在 UNIX 中,如果我通过 cgi 给网站成员间接写入文件、读取文件的权限,会有哪些安全风险?
像这样:
可以看到,只有cgi有读写文件的权限。
这似乎可以防止安全问题。
还是我在自欺欺人?
编辑:
这是它的工作原理:
1. 用户在 <form> 中输入信息。
2. 用户向cgi发送<form>。
3. cgi 将 <form> 信息写入文件。
我想我主要担心的是用户在文件中嵌入了破坏性的 exe。
但是他们没有 DIRECT 权限 r/w 文件。
还有...
...用户可以间接写入的就是这个文件
安全隐患取决于 viewing/editing 所述文件的影响。如果用户能够查看 /etc/shadow(其中包含密码哈希值),那么他们将能够尝试暴力破解用户密码。如果他们也能够访问任何配置文件,则可能会暴露登录详细信息和其他敏感信息。
如果实施得当,这个系统是安全的,但这将是一场艰苦的战斗,还有许多其他解决方案可能更适合您的需求。
在 UNIX 中,如果我通过 cgi 给网站成员间接写入文件、读取文件的权限,会有哪些安全风险?
像这样:
可以看到,只有cgi有读写文件的权限。 这似乎可以防止安全问题。
还是我在自欺欺人?
编辑:
这是它的工作原理:
1. 用户在 <form> 中输入信息。
2. 用户向cgi发送<form>。
3. cgi 将 <form> 信息写入文件。
我想我主要担心的是用户在文件中嵌入了破坏性的 exe。 但是他们没有 DIRECT 权限 r/w 文件。
还有... ...用户可以间接写入的就是这个文件
安全隐患取决于 viewing/editing 所述文件的影响。如果用户能够查看 /etc/shadow(其中包含密码哈希值),那么他们将能够尝试暴力破解用户密码。如果他们也能够访问任何配置文件,则可能会暴露登录详细信息和其他敏感信息。
如果实施得当,这个系统是安全的,但这将是一场艰苦的战斗,还有许多其他解决方案可能更适合您的需求。