PHP / Apache / Linux で chmod 777 が危険なのはなぜですか?-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP / Apache / Linux で chmod 777 が危険なのはなぜですか?

Barbara Streisand

Oct 31, 2024 am 04:29 AM

Why is chmod 777 Dangerous in PHP / Apache / Linux?

PHP / Apache / Linux における chmod 777 の危険性を理解する

Linux ベースの Web ホスティングに 777 権限を割り当てることに対する警告にもかかわらず、正確な脆弱性はまだ不明です。この記事は、特に PHP / Apache コンテキスト内でのリスクを解明することを目的としています。

PHP スクリプトは、実行可能ステータスに関係なく、Web サーバーまたはコマンドラインインタプリタを介して外部で実際に実行できます。ただし、777 権限は重大な脅威をもたらします。同じマシン上の他のユーザーがワールド書き込み機能を使用してファイルにアクセスできるようになります。

次のシナリオを考えてみましょう:

保護されていないディレクトリにより、ユーザーのアップロードが許可されます。 .
ユーザーは、実行可能なシェルスクリプトと、シェルスクリプトへの system() 呼び出しを含む PHP ファイルをアップロードします。
ブラウザで PHP スクリプトの URL にアクセスすると、シェルスクリプトが実行されます。

777 権限があれば、PHP スクリプトを実行する Apache ユーザーを含む誰もがシェルスクリプトを実行できます。実行可能ビットがディレクトリまたはディレクトリ内のファイルに設定されていない場合、このアクションは発生しません。

脅威を引き起こすのは PHP ファイルのアクセス許可ではないことに注意することが重要です。むしろ、Apache ユーザー (または Apache を実行しているユーザー) で Linux システムコールを実行するのは system() コールです。ここで実行ビットが重要になります。

以上がPHP / Apache / Linux で chmod 777 が危険なのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

Laravelでフラッシュセッションデータを使用しますMar 12, 2025 pm 05:08 PM

Laravelは、直感的なフラッシュメソッドを使用して、一時的なセッションデータの処理を簡素化します。これは、アプリケーション内に簡単なメッセージ、アラート、または通知を表示するのに最適です。データは、デフォルトで次の要求のためにのみ持続します。 $リクエスト -

PHPのカール：REST APIでPHPカール拡張機能を使用する方法Mar 14, 2025 am 11:42 AM

PHPクライアントURL（CURL）拡張機能は、開発者にとって強力なツールであり、リモートサーバーやREST APIとのシームレスな対話を可能にします。尊敬されるマルチプロトコルファイル転送ライブラリであるLibcurlを活用することにより、PHP Curlは効率的なexecuを促進します

Laravelテストでの簡略化されたHTTP応答のモッキングMar 12, 2025 pm 05:09 PM

Laravelは簡潔なHTTP応答シミュレーション構文を提供し、HTTP相互作用テストを簡素化します。このアプローチは、テストシミュレーションをより直感的にしながら、コード冗長性を大幅に削減します。基本的な実装は、さまざまな応答タイプのショートカットを提供します。 Illuminate \ support \ facades \ httpを使用します。 http :: fake（[[ 'google.com' => 'hello world'、 'github.com' => ['foo' => 'bar']、 'forge.laravel.com' =>