Benötigt ein Web-Cracker Leseberechtigung zum Zerstören eines UNIX-Servers

Question

Wenn ich einem Website-Mitglied indirekt die Berechtigung gebe, in eine Datei zu schreiben, lese aus der Datei, aber durch eine cgi, was sind die Sicherheitsrisiken?

wie so:

Wie Sie sehen können, nur die cgi hat die Erlaubnis, die Datei zu lesen und zu schreiben. Es scheint, dass dies Sicherheitsprobleme verhindern würde.

ODER BIN ICH ICH MICH SELBST?

Edit:

hier, wie es funktioniert: 1. Der Benutzer gibt es Informationen in einem einfachen <form>. 2. Der Benutzer sendet die <form> an das CGI. 3. Das CGI schreibt die <form> Information in die Datei.

Ich denke, meine Hauptsorge ist der Benutzer, der zerstörerische Exes in die Datei einbettet. Sie haben jedoch keine DIRECT Berechtigung, die Datei r/w.

auch ... ... es ist diese und nur diese Datei, die der Benutzer indirekt schreiben zu

Answer 1

Die Auswirkungen auf die Sicherheit davon ab, was Affekt Betrachten/Editieren der Datei hat. Wenn der Benutzer in der Lage ist, /etc/shadow anzuzeigen (enthält Kennwort Hashes), dann könnten sie versuchen, Benutzerkennwörter zu erzwingen. Wenn sie auch auf Konfigurationsdateien zugreifen können, können Anmeldeinformationen und andere vertrauliche Informationen angezeigt werden.

Bei richtiger Implementierung kann dieses System sicher sein, aber es würde kämpfen und bergauf kämpfen, und es gibt viele andere Lösungen, die wahrscheinlich Ihren Bedürfnissen besser entsprechen würden.