在 PHP Laravel 框架应用程序中让 www-data 用户可写入源代码文件有哪些安全风险?
vagrant@dev:/laravel-app/public$ ls -al
total 20
drwxr-xr-x 2 www-data www-data 4096 Aug 10 09:19 .
drwxr-xr-x 12 www-data www-data 4096 Sep 15 10:39 ..
-rw-r--r-- 1 www-data www-data 0 Aug 10 09:19 favicon.ico
-rw-r--r-- 1 www-data www-data 603 Aug 10 09:19 .htaccess
-rw-r--r-- 1 www-data www-data 1710 Aug 10 09:19 index.php
-rw-r--r-- 1 www-data www-data 24 Aug 10 09:19 robots.txt
让 www-data 用户可写的源代码文件安全吗?如果它 不安全 - 那么到底为什么?
如果有人发现您的代码中存在漏洞并访问了您的计算机,他就有机会以写入权限修改每个文件。我没有找到任何默认授予写入权限的具体原因。
如果你有一些 crontab 指向你的代码,请特别小心,因为如果它是 root crontab,那么只需修改脚本文件就很容易获得 root 访问权限
Web 服务器可以写入哪些文件和目录?
在我看来,只是日志文件