Linux 서버의 파일에 대한 기본 권한은 644이며 모든 사람이 읽을 수 있음을 의미합니다. 구성 파일에 대한 권한을 600으로 변경하라는 제안을 한 기사를 읽었습니다. 해커가 읽기 권한을 사용하도록 설정 한 경우 PHP 파일 내부에서 코드를 볼 수있는 방법이 있습니까?출력을 실행하지 않는 다른 서버의 PHP 파일에서 코드를 읽을 수 있습니까?
해커가 파일 사용 권한을 사용할 수있는 방법이 있습니까?
"모든 사람이 읽을 수 있음"에는 서버에서 로밍하는 해커가 포함되므로 해커가 서버에 액세스 할 수있는 경우 파일 내용을 읽을 수 있습니다. 해커가 서버에서 루트 권한을 얻는 경우에도 모든 파일을 읽을 수 있으므로 권한은 중요하지 않습니다.
해커가 서버에 직접 액세스 할 수 없으며 대신 웹 사이트 (또는 귀하가 제공하는 기타 온라인 (PHP) 서비스)를 해킹하려고하면 해커가 서비스에 문제가없는 경우 파일에 대한 액세스 권한을 얻을 수 있습니다 실수로) 파일의 내용을 제공합니다 (예 : 포함되지 않아야하는 파일을 포함 시킴). 서비스가 루트 권한으로 실행되고 있지 않다고 가정하면 파일 사용 권한으로 인해 서비스 (해커)가 콘텐츠를 읽을 수 없게됩니다.
예를 들어, 당신은 파일의 다운로드를 계산한다고 가정, 당신은 사용할 수 있습니다
$download = $_GET['download'];
updateDownloadCounter($download);
// Send file to user
readfile($download);
을에 '해커'(사용자 계정을 잘 적어도 해시를 download.php?download=/etc/shadow 서버의 암호를 사용하는 경우)는 멋진 다운로드로 '해커'에게 전송됩니다.
파일 사용 권한을 600으로 설정하면 해커가 파일 내용을 읽을 수 없게됩니다. php에는 루트 사용 권한이 있으며 파일의 내용을 읽을 수 없으므로 해커가 파일 내용을 읽을 수 없습니다.
파일의 내용을 가져 오는 방법이 많이 있으므로 사용 권한 설정만으로 안전을 보장 할 수 없습니다.