Задать вопрос
@IvanIF

Почему права доступа 777 для папки на сервере это опасно?

У меня на сайте есть возможность загрузки пользователями файлов на сервер. Файлы загружаются в директории avatars и photos. Соответственно я выдал этим папкам права 777. Почему это опасно? Ведь при загрузке я проверяю файл на расширение и содержание. Кроме того в этих директориях лежат файлы .htaccess с вот таким содержанием (это запрещает исполнение скриптов из этой директории):
php_flag engine 0
RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html
AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html .jsp
  • Вопрос задан
  • 749 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 4
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
По той же причине, по которой опасно девушке одной ночью летом в короткой юбке гулять по городу - могут совершить разные непотребства, даже не спросив имени :)
Ответ написан
Комментировать
AleksandrB
@AleksandrB
Совсем недавно вывел "Hello world"
А теперь представь, что кто-то нашел уязвимость в твоем коде, который вызывает команду в консоле (exec() например) и теперь он может зайти в эту папку и удалить все что нужно.
Или у тебя взломали одного из юзеров.
По большому счету, права для папки - следующий уровень защиты, если первый не сработал.
Ответ написан
@mureevms
Опасно только потому, что если сломают сервер от любого пользователя, то он сможет изменять файлы во всех каталогах у которых права 777.
Ответ написан
Комментировать
@Karpion
Непонятно, являются ли пользователи системными (заведёнными в системе) или сайтовыми.
Если пользователи системные - то их надо включить в группу и дать доступ на запись в эти папки только этой группе (ну и возможно - владельцу).
Если пользователи сайтовые - то запросы на загрузку выполняются от имени какого-то юзера. Надо дать доступ только доступ на запись в эти папки только этому юзеру.

Есть такое хорошее правило:
"Никогда не давай прав больше, чем необходимо.".
Потому что дополнительные права не принесут пользы, ибо не нужны; а вот проблемы они принести могут запросто.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы