答案1
应该没问题。它的代码经过了审查,但很复杂。请参阅https://git.busybox.net/busybox/tree/networking/httpd.c
默认情况下,CGI 脚本是启用的,因此如果您允许上传文件,那么有人可能会上传一些 exploit.cgi 文件。但无论如何,要执行它,该文件应该具有执行权限。另一种类似的攻击是上传带有可能窃取 cookie 的 JavaScript 的 html 页面。您也可以将 conf 文件上传到目录中,但这样做非常有限。基本身份验证没有暴力破解保护,因此您可能需要配置一些 Fail2Ban,但我从未这样做过,也不确定是否记录了失败的尝试。您还可能意外启用了代理。
BB httpd 有四个影响安全性的限制:
- 不支持虚拟主机
- 无 TLS/HTTPS
- 配置很简单,但是由于缺少样本,很容易搞砸。
- 没有自定义标头,例如内容安全策略 (CSP)
您可以在 OWASP 网站上找到一些自我检查 https://cheatsheetseries.owasp.org/IndexTopTen.html