网站安全-目录启用写权限漏洞

iamplane 2012-11-05

最近看到有很多网站因为目录启用写权限,安全受到影响;为了提高网站安全性,用网站安全工具检测目录启用写权限漏洞,测试项目地址:http://tqybw.net/xiamen15tian/(厦门天气预报15天查询),还好没有什么问题!

目录启用写权限漏洞描述:

目标目录启用了写权限。

1.恶意攻击者可以向该目录写入任意文件。

2. 通过HTTP协议的PUT方法,向该目录写入任意文件或以指定的内容覆盖当前目录下的现有文件。

目录启用了写权限危害:

1.上传后门程序控制服务器。

2.恶意攻击者可以通过该方法向服务器上传后门程序,从而获取对服务器的完全控制权;同时可以通过该方法覆盖服务器上的任意文件,从而造成数据丢失或系统损坏等。

目录启用了写权限解决方案:

如非必要,请禁用PUT方法。文件权限尽量最小化,只读的文件就不要开启写入执行的权限,这点在linux系统服务器上可以很好的应用;对于不同组的用户应设定不同的权限!

相关推荐