Вопросы Теги

Кто-то может изменить содержание файла с разрешением 777 на сервере?

Хитрая часть с той файловой системой - это, использовал устройство MTD для устройства хранения данных, которое не является ни блоком, ни устройством посимвольного ввода-вывода. Файловая система YAFFS2 имеет фиктивное устройство MTD, которое хранит данные в виртуальном Flash NAND в оперативной памяти. Можно, вероятно, одолжить его и тренировать его в работу с JFFS2, но я не уверен, насколько полезный это будет для профилирования, когда виртуальное аппаратное обеспечение будет сотнями тысяч времен быстрее, чем реальные аппаратные средства.

1
01.06.2012, 19:15
2 ответа

Существует пара путями, я могу думать об этом, кто-то смог бы изменить файл.

Во-первых, если у них есть физический доступ к серверу, они могут получить диск, смонтировать его и сделать что-либо, что они хотят к нему.

Во-вторых, они могут использовать некоторую другую учетную запись на сервере, чтобы сделать то, что они хотят - если та учетная запись имеет полномочия видеть, что файл (и 777 даст его, если там не будут существовать никакой ACLs или другие меры безопасности), то тот человек может изменить файл. Если это - файл PHP, у пользователя, которого Ваш веб-сервер выполняет как, вероятно, есть разрешение просмотреть файл, поэтому если это поставлено под угрозу, Ваш файл выставляется.

2
27.01.2020, 23:21
  • 1
    Или кому-то удается использовать веб-приложение. Веб-приложение (.php) будет иметь все полномочия на этом файле, включая изменение его/ –  jippie 01.06.2012, 19:41

Можно только изменить файл, если можно так или иначе записать в определенный файл. Если Вы не экспортируете файловую систему в удаленную систему нет никакой прямой возможности изменить файл даже с такими расслабленными полномочиями.

Это не означает, что необходимо использовать такие расслабленные полномочия в качестве изменений ситуации, если Вы предлагаете некоторую услугу на своей машине, как веб-сервер, FTP-сервер и т.д. Существует возможность, что некоторые приложения, которые Вы предлагаете, имеют некоторые проблемы безопасности как, например, веб-сайт, который Вы размещаете на этом сервере. Это позволило бы кому-то без учетной записи на Вашем сервере изменять файл через определенный сервис, например, изменение произойдет с пользователя, услуга работает, например, www-данные

2
27.01.2020, 23:21

Теги

Похожие вопросы