代码之家  ›  专栏  ›  技术社区  ›  Darwin

在静态目录和文件上设置了755,是否可以上传和执行恶意脚本?

exploit web server security linux
  •  0
  • Darwin  · 技术社区  · 8 年前

    假设有一个网站,其中的静态目录和文件设置为755,并且有一个公共接口可以将任何类型的文件上传到目录中 Require all granted 设置在目录上。

    1. 是否可以上传一些脏脚本并在服务器上执行?
    2. 我认为这可以用来执行XSS。这是正确的吗?
    3. 在保持网站安全的同时实现上传新静态文件(如图片)的接口的最佳实践是什么?
    1 回复  |  直到 8 年前
        1
  •  0
  •   Stian Skjelstad    8 年前

    1/3:
    755基本上意味着目录的所有者是唯一允许在该目录中创建新文件的用户。

    如果目录的所有者和web服务器/php-server/?然后是的,允许创建新文件并执行一般更改。

    简短回答:
    保护网站最常见的方法是让一个单独的用户拥有文件和目录a,在目录等上使用chmod 755,并使用SFTP上传内容。

    2:
    XSS通常不包括需要写访问,而是操作脚本输入变量,这些变量可能按原样打印出来,等等。

    推荐文章
    Furkan Gözükara  ·  如何修改此命令以安装特定的cuDNN和torch版本“apt-install-libcudnn8”
    1 年前
    CaTx  ·  使用带有一个大于号和两个大于号的回波的区别
    1 年前
    Ari157  ·  x86_64 Linux程序集中的逻辑与实现
    2 年前
    user2954003  ·  AWK使用正则表达式匹配字符串并与前一个字符串组合
    2 年前
    twisted  ·  将apache2 CustomLog管道传输到以其他用户身份运行的程序
    2 年前
    domagaja  ·  Linux—更快地读取或收集文件内容(例如,每秒的cpu温度)
    2 年前
    Ty Q.  ·  分段故障GLFW3/GLAD
    2 年前
    Code With Banchi  ·  在sed命令中使用变量-sed-e异常:“s”的选项未知
    2 年前
    ShortArrow  ·  如何使用git管理链接源文件?
    2 年前
    Bastien L.  ·  多Linux Grafana集成
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号