我已将上传目录(最终用户可以在其中上传他们的文档)的权限设置为 777。
我知道这不是一个好主意,但是如果获得任何其他许可,文件都不会被上传。
我想了解与之相关的安全风险以及我可以采取哪些措施来预防它们。
此外,我将把上传目录中上传文件的权限设置为 644。
感谢您的回复。
答案1
如果您有共享主机,那么每个用户都可能能够读取该文件夹的内容(如果该目录的路径存在且具有适当的x标志)。
如果您有专用服务器,那么每个系统用户(即每个服务器)也将能够访问此文件夹。无论是您的 Web 服务器还是 FTP 服务器。如果其中一个存在安全漏洞,则可能用于生成 shell(交互式或非交互式),从而获取服务器的权限。在这种情况下,您将遇到上一种情况,即每个用户都可以访问该文件夹。
这是用于阅读的。现在考虑用于写作的相同情况。用户可以将一些文件放在那里并通过您的网站访问它。如果上传到该目录中的某个文件重写了您的主页怎么办?
答案2
这样做的威胁模型和漏洞取决于很多你没有提供的背景信息(这是一个共享服务器吗?它是一个专用的网络服务器吗?文档根目录中的目录是什么?PHP 是否以与网络服务器相同的 uid 运行?您是否具有系统管理员权限?还有谁有?......)这是一个很难回答的复杂问题和支持数据,如果没有,不可能具体回答。
让文件对所有人都可读,让目录对所有人都可写应该是一个绝对的最后手段在用尽所有其他配置受限访问的方法之后。