【问题标题】:Avoid hacking with folder has CHMOD is 777避免使用文件夹进行黑客攻击,其 CHMOD 为 777
【发布时间】:2013-02-06 08:19:40
【问题描述】:

我们的网站被黑了,因为一个文件夹有 777 权限,这意味着人们可以在那里上传文件并远程运行脚本。但是,该文件夹需要为 777,因为该站点具有用于裁剪图像的客户端功能,并且需要将裁剪后的图像保存在那里。

如何保护此文件夹并防止黑客入侵?

请教我怎么做?非常感谢!

【问题讨论】:

  • 为什么一定要777?为什么不是755?另外,您是否在检查有效图像?
  • 客户端有裁剪图像的脚本运行,我们需要777文件夹,我们无法更改它。
  • 设置为 777 的文件夹不会自动向公众开放,以便他们上传文件和运行脚本。但它将允许任何具有 SSH 或命令行访问权限的人(可能是服务器上的其他用户)这样做,如果您在 Web 应用程序(例如 WordPress)中存在漏洞,那么他们可能能够以这种方式上传文件。这是一个常见的混淆来源。

标签: permissions chmod


【解决方案1】:

CHMOD 777 本质上是不安全的。它仅用于在安装脚本时暂时避免出现问题。安装脚本后,您将其 CHMOD 回 755 之类的内容。为了保护它,您必须更改对全开放以外的其他内容的访问权限。

要让用户裁剪图像,我建议使用传统的 javascript 裁剪器,例如 Jcrop

【讨论】:

  • 如果您信任服务器上的所有其他帐户(例如您自己的私人 VPS),这并不是天生不安全的。有时这(不幸的是)是各种应用程序对文件夹具有写入权限所必需的。
【解决方案2】:

我会重新考虑您的设计。您应该限制客户端读取和执行(但不写入)您自己编写的脚本以完成他们需要的特定任务。在脚本中验证您正在对图像文件进行操作,因此它不能用于其他无效图像的文件。不仅要检查文件扩展名,还要检查文件的前几个字节(大多数格式会告诉你它是什么)。文件扩展名很容易更改。

永远不要让用户上传他们自己的脚本来执行到您的服务器。如果你这样做,入侵你将非常容易。如果您有必须能够执行此操作的“高级”用户,请为他们创建自己的用户帐户,该帐户被沙盒到他们自己的环境中。这样他们就不会影响其他用户或您的系统,并且您对他们的行为具有不可否认性(因此,如果他们做了一些愚蠢的事情,您可以追究他们的责任),并且他们打开的任何安全漏洞都将仅限于破坏他们的文件而不是你的。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2014-03-19
    • 1970-01-01
    • 2011-03-16
    • 1970-01-01
    • 1970-01-01
    • 2011-03-21
    • 1970-01-01
    相关资源
    最近更新 更多