2012-01-25 17 views
0

.htaccessファイルは、ftp経由でディレクトリにアップロードされます。そのファイルの所有者とグループは、一般にftpユーザーおよび/またはrootです。htaccessファイルに上書きしますか?

上記のディレクトリのファイルアクセス権が0777に設定されている場合、リモートスクリプトが上記の.htaccessファイルに書き込むことが可能であるか、すべての試みが.htaccessファイルの所有者およびグループとして常にブロックされますftpユーザー(およびルート)であり、ハッカー(ftpユーザーとして入力しようとしていたポートによって異なります)は、ftpユーザーとしてサーバーにログインしません(また、rootユーザーでもない)。

私は、ディレクトリがパーミッション0777である必要があり、.htaccessファイル(上記のディレクトリでスクリプトが実行されないようにする)が単純に上書きされる可能性があるためです。攻撃することができます。

おかげで、 ジョン・個人

答えて

0

は、私が直接.htaccessファイルを含むで0777アクセス許可を設定していないでしょう。そのような状況では、おそらく0777権限を必要とするファイルをサブディレクトリに移動することをお勧めします。

0

あなたが攻撃に脆弱になるのは、スクリプトがそのフォルダへの書き込みアクセス権を持っている場合です。ここで友人のサーバー上の実話からの例です:

  1. TimThumbの古いバージョンでは、ファイルが悪意を持って
  2. アップロードされたファイルは、シリアシェル、ユーザー権限を解読して、新しいファイルの作成を開始するために使用するスクリプトだっアップロードすることを許可
  3. 侵入者へのアクセスが許可され、サーバーはフィッシングサイトのホストになりました。

あなたの構造をよくご覧ください。書き込みアクセスをサブディレクトリに移動します。お役に立てれば。

+0

うーん、私はwebdesignerである友人のCMSシステムを作成しようとしています。 – John

+0

アップロードの目的は何ですか?それがイメージとホストされたファイルの場合、多くのCMSにアップロードのための特定のフォルダがあります。 like wordpress:/wp-content/uploads/file.jpg – crockpotveggies

関連する問題