关于 httpd.conf AllowOverride 设置的安全问题

关于 httpd.conf AllowOverride 设置的安全问题

我正在开发一个网站,需要在 .htaccess 中使用重写命令。它不起作用,最后找到了问题所在,我需要设置

我的 Apache httpd.conf 中的“AllowOverride All”

我想知道当我将设置从“AllowOverride None”更改为“AllowOverride All”时是否存在需要注意的安全问题?

谢谢!

答案1

好问题,答案是肯定的,这里有风险需要您评估。它将允许对特定目录具有写权限的用户创建 .htaccess 文件并覆盖各种设置:

  • 身份验证设置
  • 限制,例如 IP 白名单/黑名单
  • 如何处理文件类型
  • 该目录上的选项

举个具体的例子,您为虚拟主机设置了一个全局白名单,用户可以在他们可以写入的目录中覆盖该白名单。或者他们可以覆盖需要授权用户的全局设置。

要了解更多可以做的事情,请参阅:http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride

如果不是共享系统,风险就相当小,因为通常整个 Web 服务器实例将以同一用户身份运行,因此这实际上与有人破解 Web 服务器时会发生什么无关。如果有人能找到您拥有的脚本中的漏洞并可以编写任意文件,那么就可能利用该漏洞,假设您拥有某种上传接口。

相关内容