假设有一个网站,其中的静态目录和文件设置为 755,并且有一个公共(public)接口(interface)可以将任何类型的文件上传到目录中。服务器使用 apache,在目录上设置了 Require all granted。
- 是否可以上传一些脏脚本并在服务器上执行?
- 我认为可以利用它来执行 XSS。对吗?
- 在保证网站安全的同时实现上传新静态文件(如图片)的接口(interface)的最佳做法是什么?
最佳答案
1/3:
755 基本上意味着目录的所有者是唯一允许在该目录中创建新文件的用户。
如果目录的所有者和 web-server/php-server/?运行该用户,然后是的,它通常被允许创建新文件并执行更改。
简答:
保护网站的最常见方法是让一个单独的用户拥有文件和目录 a,在目录上使用 chmod 755 等,并使用 SFTP 上传内容。
2:
XSS 漏洞通常不包括需要写访问权限,而是操纵可能被逐字打印出来的脚本输入变量等。
关于linux - 静态目录和文件设置755,是否可以上传执行恶意脚本?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36678204/