iamplane 2012-11-05
最近看到有很多网站因为目录启用写权限,安全受到影响;为了提高网站安全性,用网站安全工具检测目录启用写权限漏洞,测试项目地址:http://tqybw.net/xiamen15tian/(厦门天气预报15天查询),还好没有什么问题!
目录启用写权限漏洞描述:
目标目录启用了写权限。
1.恶意攻击者可以向该目录写入任意文件。
2. 通过HTTP协议的PUT方法,向该目录写入任意文件或以指定的内容覆盖当前目录下的现有文件。
目录启用了写权限危害:
1.上传后门程序控制服务器。
2.恶意攻击者可以通过该方法向服务器上传后门程序,从而获取对服务器的完全控制权;同时可以通过该方法覆盖服务器上的任意文件,从而造成数据丢失或系统损坏等。
目录启用了写权限解决方案:
如非必要,请禁用PUT方法。文件权限尽量最小化,只读的文件就不要开启写入执行的权限,这点在linux系统服务器上可以很好的应用;对于不同组的用户应设定不同的权限!