¿Qué puede hacer un visitante del sitio con un archivo 777 en mi servidor web?

Navega tus respuestas
1

A veces prefiero trabajar con archivos de texto en lugar de bases de datos, ya que luego puedo editar manualmente el contenido del archivo. Imagínese que he creado una lista negra de archivos de texto y chmod la dedico a 777. Digamos que está accesible en enlace . Esto efectivamente da lectura / escritura / ejecución a todo el mundo, ¿no es así? ¿Qué puede hacer un usuario normal con ese archivo además de leer su contenido? ¿Es esta una amenaza de seguridad para mi sitio y su contenido? ¿El visor web normal u otra persona que no sea un usuario de SSH (o usuario de la máquina) modificará el contenido del archivo?

    
pregunta codezombie 14.11.2018 - 14:56
fuente

2 respuestas

3

Los servidores no están escritos de manera que modifiquen automáticamente un archivo con un simple método POST o PATCH, una característica de seguridad, por lo tanto, la principal amenaza del 777 es que expone el acceso de lectura a datos potencialmente sensibles. Dependiendo de la configuración del servidor, un archivo 777 también podría ser ejecutable, aunque la mayoría de las configuraciones del servidor limitan la ejecución a los directorios "bin" como una característica de seguridad adicional (por ejemplo, "cgi-bin"). Sin acceso a ftp, ssh, telnet, etc., el archivo aún es de solo lectura.

Dicho esto, no debes confiar en esto, y siempre asegúrate de modificar tus archivos correctamente para evitar posibles complicaciones. Las implicaciones de seguridad están directamente relacionadas con los valores dentro del archivo, por supuesto. Si es solo una lista de direcciones IP en la lista negra, probablemente sea inofensiva, pero si tiene valores de configuración del servidor, contraseñas, etc., eso sería un problema de seguridad obvio.

En resumen, el 777 en sí mismo es "en su mayoría inofensivo", pero realmente depende del propósito del archivo en cuanto a la importancia que debe tener en la protección del archivo.

    
respondido por el phyrfox 14.11.2018 - 15:45
fuente
2

En un mundo donde las cerraduras serían irrompibles, nadie tendría más de una en la puerta principal de su casa. Desafortunadamente ...

El mundo de TI no es realmente diferente. El sistema operativo y el software del servidor no deben permitir que un usuario cliente haga más de lo esperado. Pero puede haber fallas de seguridad o implementación que causen un comportamiento inesperado ...

Esa es la razón por la que las buenas prácticas de seguridad recomiendan configurar más de una línea de defensa y observar la regla de privilegio mínimo: si no se requiere un permiso para que el sistema funcione, debe eliminarse. De esa manera, incluso si se rompe la protección ofrecida por el software del servidor, la ofrecida por los permisos de archivo aún impide que un atacante haga (también) cosas malas.

De hecho, hay casos de uso reales para archivos 777, pero usar eso cuando no es necesario es malo porque reduce innecesariamente el nivel de protección global del sistema.

    
respondido por el Serge Ballesta 14.11.2018 - 18:14
fuente

Lea otras preguntas en las etiquetas

¿En qué punto un dispositivo corresponde o se enlaza con su propietario? ¿Es posible descifrar cualquier contraseña hash SHA1?