我正在运行一个托pipe3个站点的云服务器(Ubuntu 10.04)。 由于即时通讯不必担心共享主机和其他用户在同一个盒子。 chmod 777文件夹真的有很大的风险,所以Apache可以写它? 我试图避免一堆具有不同权限的文件夹。
如果你允许apache写一个执行文件到一个文件夹,那么恶意用户可能会上传一个文件,并可能欺骗apache执行它。
所以如果我有一个文件夹/ var / www / mysite / httpdocs / uploads有777权限,那么有人可以上传一个文件,然后执行它。
让我们打电话给这个hack.php
<?php echo system('ls -l /'); ?>
通过访问www.mysite.com/upload/hack.php他们会得到一个目录列表你的/文件夹,如果Apache有读取权限。
这是一个相当微不足道的例子,可能会变得更加邪恶。 您不希望在文件夹上写入和执行权限。
仅仅因为你没有一个明确的上传forms并不意味着黑客无法find一个漏洞来欺骗Apache上传他们的代码。 通过防止Apache对文件夹具有写入权限,那么Linux将阻止文件被上传,即使网站存在漏洞也是允许的。