Estaba leyendo un artículo sobre los archivos de registro y, refiriéndome al registro de errores de Apache, mencionó que los archivos de registro no deben poder ser escritos por otros usuarios.
¿Cómo puede esto ser peligroso? ¿Hay algún tipo de vulnerabilidad sobre la que debería aprender?
Los archivos de registro se usan a menudo para detectar actividades sospechosas, como ataques. Pero, si el atacante puede modificar el archivo de registro, él (s) puede limpiar los registros después del ataque o plantar información falsa que confunda el análisis posterior al ataque.
Los servidores deben guardar sus actividades y rendimiento en archivos específicos. ErrorLog es el archivo donde Apache guarda sus errores definidos por su nombre y ubicación. Por lo tanto, al entender el rol de este archivo, puede adivinar que solo se debe permitir que el servidor escriba en este archivo; de lo contrario, los malhechores escribirán cualquier otra cosa que lo engañe para que realice acciones que lo ayuden a atacarlo más tarde.
Excepto por el registro que limpia las otras respuestas mencionadas, no debería haber ningún peligro al tener un archivo de registro de escritura .
Por otra parte, un archivo de registro legible puede llevar a envenenamiento de registros , que puede convertir una inclusión de archivo local en una vulnerabilidad de ejecución de código. El ataque podría tener este aspecto: un atacante visita example.com/<?php // code you want to execute ?> (o pasa el código php a través del agente de usuario o referente), por lo que lo escribe en el registro y luego visita example.com/lfi_vuln.php?s=../../../error.log . Si el archivo de registro es legible, el código se ejecuta.