Попытка выяснить, какие разрешения пользователя '_www' имеет на моем сервере OS X. Мне нужно выяснить, имеет ли он root-доступ, может ли он получить доступ к любым системным файлам или просто получить доступ к каталогу веб-сайтов верхнего уровня для Writes.Какие у вас есть разрешения?
ответ
Ну, вы можете посмотреть в /etc/group
, чтобы увидеть, какие группы _www
принадлежит:
$ grep _www /etc/group
_www:*:70:_devicemgr,_teamsserver
На правильно настроенном сервере, все точки запуска веб-сервера в качестве выделенного пользователя, чтобы ограничить привилегии этого пользователя в другом месте. Тем не менее, код веб-приложения, который обращается к файловой системе, способен читать вне DocumentRoot сервера.
Следовательно, любой файл, не принадлежащий _www
, но для которого он имеет разрешения на чтение и выполнение в родительском каталоге файла, теоретически может быть прочитан _www
, если код приложения не защищает его при чтении файловой системы. Аналогично, файлы в файловой системе, которые могут быть перезаписаны другими, могут быть изменены веб-сервером, если код приложения предоставляет им доступ.
Такие вопросы годные для использования, когда приложение использует пользовательский ввод, чтобы создать путь к файлу для чтения или записи, но не в состоянии защититься от входа, как: ../../../../../../../../../
, который, когда, возможно, в сочетании с NULL byte injection может производить имена файлов в приложении, как
Конечно, на современной системе /etc/passwd
фактически не хранит пароли, но может выявить локальных пользователей и другую ценную информацию потенциальному злоумышленнику.
- 1. У вас нет разрешения
- 2. Django «У вас есть непримененные миграции». Какие?
- 3. Почему у вас есть «где»
- 4. Есть ли у вас какие-либо советы по C# Minification?
- 5. Какие у вас есть возможности для приема услуги Thrift?
- 6. мерзавец совершить У вас есть какие-то подозрительные коммутационные линии
- 7. У вас нет разрешения называть showModalDialog
- 8. У вас нет разрешения на просмотр сервера?
- 9. У вас нет разрешения на использование copyTo
- 10. У вас нет разрешения на запуск эмулятора
- 11. У вас нет разрешения на доступ/Magento/
- 12. У вас есть несколько библиотек?
- 13. У вас есть кнопка Tkinter?
- 14. У вас есть время "Slack"?
- 15. У вас есть опции поиска
- 16. Как узнать, какие разрешения у меня есть в базе данных?
- 17. Как определить, какие разрешения у пользователя shiro есть
- 18. Какие разрешения для доступа у меня есть перед просмотром Facebook?
- 19. Абстракция базы данных - какие у вас варианты?
- 20. Какие трудности у вас были с clojure?
- 21. У вас есть генетический алгоритм в производстве?
- 22. У вас есть упрощенные форматы YAML?
- 23. У вас есть кнопка, которая автоматически приведет вас в галерею.
- 24. У вас есть объект внутри объекта?
- 25. Разработка Сколько дней у вас есть человек?
- 26. У вас есть кнопка запуска консольного приложения?
- 27. У вас есть изображение из нижнего колонтитула
- 28. У вас есть дополнительный QueryParam в майке?
- 29. У вас есть аннулирование петли() в Arduino
- 30. Есть ли у вас правильный путь?
Обычно только root имеет 'root'. – KingCrunch