这大大增加了您的网站针对恶意活动的漏洞配置文件,因为只需要闯入一个帐户即可。
任何通过任何登录名即可访问系统的人都可以对您的页面执行任何操作,包括将其更改为“此网站确实不安全,请给我您的信用卡信息”。
编辑:(以澄清和解决评论)
许多服务器在生活中具有多个目的。他们运行多种服务。如果通过为每个服务分配一个唯一的用户并相应地管理文件权限来仔细地将这些服务彼此隔离,是的,如果有人破坏了帐户的凭据,您仍然处于困境中,但是它们所造成的损害仅限于该服务。如果您只有一个通用帐户并将整个文件系统设置为777,则一个受到破坏的帐户会危害计算机上的所有内容。
如果您的服务器专用于仅运行Apache / PHP,并且在生活中没有其他用途,并且只有一个帐户正在运行Apache / PHP,则破坏一个帐户与使整个计算机不受破坏一样好。从您的应用程序的角度来看(尽管您仍然应该使用运行PHP的帐户来保护和禁止写系统文件,但是对于管理员帐户/ root用户仍然应该可以使用)。
如果他们可以编写文件并且可以执行,则可以将其更改为在您的计算机上执行的文件(可执行文件或脚本),然后使用PHP的shell_exec运行该可执行文件。如果您配置为不允许shell_exec,则他们也可以更改您的配置
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
