Back to Question Center
0

Adakah membuat fail PHP saya hanya membaca ukuran keselamatan yang berguna? - Semalt

1 answers:
.

Adakah ini taktik keselamatan yang berguna? Atau adakah ada kisah "dongeng lama" dan saya membuang masa saya?

Saya cenderung untuk berfikir bahawa sesiapa yang berada dalam kedudukan untuk memodifikasi fail PHP saya juga boleh chmod mereka (dengan itu tidak dapat melambatkan penyerang mana-mana) - 3RK1301-0CB20-0AA2 SIEMENS. Atau mereka hanya boleh membuat fail baru di suatu tempat (seperti cache atau direktori muat naik). Pemikiran?

Kelemahan melaksanakan teknik ini adalah bahawa saya perlu memasukkan dan membuat fail yang ditulis setiap kali saya ingin mengemas kini WordPress secara automatik (atau, benar-benar membuat sebarang perubahan pada laman web saya). Jadi, walaupun ia berguna sedikit, adakah ia berbaloi?

February 5, 2018

Jika anda juga membuat fail PHP yang dimiliki oleh beberapa pengguna yang lain daripada yang Apache berfungsi sebagai, maka ya, anda telah menyekat satu senario serangan yang berpotensi. Jika anda meninggalkan mereka yang dimiliki oleh pengguna Apache maka penyerang dengan keistimewaan peringkat Apache (satu contoh ini akan menjadi suntikan kod atau kemasukan fail jauh) akan dapat chmod fail dan editnya juga.

Ini tidak menghalang mana-mana senario serangan lain seperti penyerang meneka kata laluan SSH anda atau mencari cacat yang memberinya akses root.

Sekiranya penyerang berjaya mendapatkan keistimewaan peringkat Apache ke pelayan anda tetapi tidak dapat mengedit fail PHP disebabkan oleh pemilikan dan keizinan, kemungkinan mereka akan melakukan apa yang mereka mampu untuk mencapai matlamat mereka (katakan, muat naik baru skrip ke direktori muat naik atau menanam a. fail htaccess di suatu tempat) atau gunakan akses yang mereka miliki untuk meningkatkan keistimewaan mereka sehingga mereka boleh mengedit fail.

Jika ia menyebabkan anda tidak mengemas kini Wordpress seberapa kerap yang anda perlu, maka ia mungkin mengurangkan keselamatan secara keseluruhan. Ketinggalan zaman Wordpress jauh lebih buruk daripada fail PHP ditulis oleh pengguna Apache .

.

Adakah membuat fail PHP saya hanya membaca ukuran keselamatan yang berguna? - Semalt
Reply