Che cosa può fare un visitatore del sito con un file 777 sul mio server web?

1

A volte preferisco lavorare con i file di testo anziché con il database, poiché in seguito posso modificare manualmente il contenuto del file. Immagina di aver creato una lista nera di file di testo e di chmod dedarla a 777. Diciamo che è accessibile al link . Questo dà effettivamente lettura / scrittura / esecuzione a tutto il mondo, non è vero? Cosa può fare un utente normale con quel file se non leggendo il suo contenuto? È una minaccia alla sicurezza per il mio sito e il suo contenuto? Qualsiasi normale visualizzatore Web o qualcun altro diverso dall'utente SSH (o utente macchina) modificherà il contenuto del file?

    
posta codezombie 14.11.2018 - 14:56
fonte

2 risposte

3

I server non sono scritti in modo da modificare automaticamente un file solo con un semplice metodo POST o PATCH, una caratteristica di sicurezza, quindi la più grande minaccia di 777 è quella di esporre l'accesso in lettura a dati potenzialmente sensibili. A seconda della configurazione del server, un file 777 può anche essere eseguibile, anche se la maggior parte delle configurazioni del server limita l'esecuzione alle directory "bin" come ulteriore funzionalità di sicurezza (ad esempio "cgi-bin"). Senza accesso a ftp, ssh, telnet, etc, il file è ancora in sola lettura.

Detto questo, non dovresti fare affidamento su questo, e assicurati sempre di modificare i file correttamente per evitare potenziali complicazioni. Le implicazioni sulla sicurezza sono direttamente correlate ai valori all'interno del file, ovviamente. Se si tratta solo di un elenco di indirizzi IP in blacklist, probabilmente innocuo, ma se ha valori di configurazione del server, password, ecc., Ciò costituirebbe un evidente problema di sicurezza.

In sintesi, 777 da solo è "per lo più innocuo", ma in realtà dipende dallo scopo del file e dall'importanza che si deve porre sulla protezione del file.

    
risposta data 14.11.2018 - 15:45
fonte
2

In un mondo in cui le serrature sarebbero indistruttibili, nessuno ne avrebbe più di una sulla porta principale della loro casa. Purtroppo ...

Il mondo IT non è molto diverso. Il tuo sistema operativo e il software del server non dovrebbero consentire a un utente client di fare più del previsto. Ma ci possono essere problemi di sicurezza o di implementazione che causano un comportamento inaspettato ...

Questo è il motivo per cui buone pratiche di sicurezza consigliano di impostare più di una linea di difesa e di rispettare la regola dei privilegi minimi: se non è richiesta un'autorizzazione perché il sistema funzioni, dovrebbe essere rimosso. In questo modo, anche se la protezione offerta dal software del server è interrotta, quella offerta dalle autorizzazioni del file impedisce comunque a un utente malintenzionato di fare (troppo) cose brutte.

Esistono infatti casi di utilizzo reali per i file 777, ma utilizzarlo quando non è necessario è negativo perché abbassa inutilmente il livello di protezione globale del sistema.

    
risposta data 14.11.2018 - 18:14
fonte

Leggi altre domande sui tag