我添加了“经过身份验证的用户”组,并授予其对 wwwroot 文件夹内的一个子文件夹的修改/读取/列出/写入权限。这样做会导致安全漏洞吗?
那么,有什么更好的选择吗?更好的办法是,有没有办法只授予 PHP.exe 写入此目录的权限?
我这样做是为了让 PHP(使用 Joom!a CMS)能够写入该子目录中的某些目录。但是,仅授予 IIS_IUSRS 或 IUSR 写入和修改权限不起作用。
答案1
作为底线,在内容文件夹中授予任何内容的写入权限都是一个潜在的可利用漏洞。如果有人可以写入该位置,他们就可以在该位置创建(例如)未经授权或意外的代码或污损。
PHP 是一个以用户身份运行的进程;进程本身没有固有身份*,它们代表启动它们的身份行事。
回答“更好的选择”问题:如果你的应用需要它,你就需要它。但你只能依靠应用的安全性(以及任何内部发布的应用程序、脚本或工具的安全性)来保证。
*pedantry corner:显然,进程有一个进程令牌;问题暗示可以直接向 EXE 授予权限而不是向该 EXE 的用户授予权限,但这是不可能的。