¿Debería mi webhost mostrar el sistema de archivos raíz a través de FTP?

3

Utilizo un host web comercial, cuando inicio sesión a través de FTP regular, así es como se ven los directorios:

Pareceextrañoquepuedaaccederalosarchivosdelsistema.Penséqueestaríalimitadoaaccederalosarchivosqueseencuentrandebajodemicarpetadeusuarioocarpetaraízweb(queestádentrode"clientes"). ¿Mi webhost tiene un problema de seguridad o es normal?

    
pregunta oivind 20.11.2016 - 09:34
fuente

3 respuestas

1

Llamar a esto un problema de seguridad es probablemente demasiado alto. Ocultar los archivos del sistema solo es una ofuscación, y todos sabemos que la ofuscación no es una de las mejores prácticas de seguridad.

Pero, por otro lado, la regla de menor privilegio es . Eso significa que un usuario o una cuenta solo deberían haber permitido accesos para lo que se requiere para su trabajo o contrato . Aquí claramente, no tendría motivos para poder navegar por la carpeta raíz.

Todavía no lo llamaría un problema de seguridad, a menos que pueda ver los datos de otros clientes (porque eso significa que también puede acceder a los suyos), pero probablemente sea un indicio de que el administrador no está realmente atento a las mejores reglas de seguridad . Como tal, esto es un indicio de que podrían existir otros problemas de seguridad más graves en este host web.

Pero de todos modos, es solo una pista, no una evidencia.

    
respondido por el Serge Ballesta 20.11.2016 - 17:33
fuente
0

¿Es un problema de seguridad? Si puede revelar información de otros clientes o archivos del sistema, entonces podría considerarse como una posible pérdida de confidencialidad. Es una buena práctica encarcelar a un usuario dentro de su carpeta y no permitirle navegar.

Uno de los argumentos es que resulta menos fácil descubrir la información de la máquina en la que se ejecuta el sistema, lo que dificulta la tarea de alguien que desea encontrar una vulnerabilidad potencial.

    
respondido por el Lucas Kauffman 20.11.2016 - 12:32
fuente
0

Sugeriría que este es un problema de seguridad por varias razones. Supongo que su cuenta es una cuenta de alojamiento web compartida (es decir, no paga por toda la máquina virtual)

  1. No especifica si después de iniciar sesión a través de FTP puede descargar / cargar en directorios fuera de su webroot. Si puedes, eso es malo como un atacante con ese acceso podría usarlo para recuperar otros datos o modificar la configuración del sistema. FWIW, no sugeriría que lo intente, ya que podría describirse de manera no caritativa como acceso no autorizado al sistema.
  2. Incluso suponiendo que actualmente no puede obtener acceso no autorizado a otros datos en el host, al proporcionarle visibilidad, aumenta el riesgo de que un error de configuración posterior pueda tener graves consecuencias. Por ejemplo, alguien ejecuta chmod 777 * en un directorio para solucionar un problema y luego se olvida de cambiar los permisos nuevamente en una fecha posterior. Al exponer los archivos del sistema de manera innecesaria, el proveedor de servicios está disminuyendo la seguridad general proporcionada.

Idealmente, lo que deberían hacer es usar algún tipo de jaula chroot para restringirte a que solo veas archivos que forman parte de tu sitio web.

    
respondido por el Rоry McCune 21.11.2016 - 20:42
fuente

Lea otras preguntas en las etiquetas