Назад | Перейти на главную страницу

Если в корневом веб-каталоге есть символическая ссылка, указывающая на папку на один уровень выше, представляет ли это угрозу безопасности?

Предполагая систему Linux / Unix. Не спрашивать о каком-то конкретном серверном программном обеспечении, просто интересно в целом. Я хочу использовать это для включения библиотек javascript или подобных вещей на нескольких сайтах или поддоменах.

Apache, по крайней мере, не будет следовать символической ссылке, указывающей за пределы корня документа. Это сделано из соображений безопасности, как следует из вашего вопроса :).

Я бы посоветовал указать вашу символическую ссылку на общую папку, которая не обязательно находится «вверху» по дереву каталогов. Например, родственный каталог. Если вы можете изменить конфигурацию сервера, вы можете добавить новую запись для этого местоположения, иначе она должна быть где-то в корне документа.

Я не уверен, что этот вопрос действительно существует здесь, поскольку он гипотетический (поскольку вы не спрашиваете о конкретном серверном программном обеспечении). Гипотетический ответ - да. Может быть ошибка / функция веб-сервера, которая позволяет пользователю пройти мимо символической ссылки и вниз по другим частям дерева каталогов в нежелательном поместье.

Я действительно говорю вам, что проблема, вероятно, будет незначительной, если на сервере есть какие-то cgi / php / активные страницы, поскольку, если на сервере не происходит какое-то тюремное заключение, кто-то, кто скомпрометирует веб-сайт, все равно может это сделать .