for*_*own 5 security httpd.conf apache-2.2
我正在一个网站上工作,我需要在 .htaccess 中使用重写命令。它不起作用,终于找到了我需要设置的问题
我的 Apache httpd.conf 中的“AllowOverride All”
我想知道当我将设置从“AllowOverride None”更改为“AllowOverride All”时是否应该注意任何安全问题?
谢谢!
好问题,答案是肯定的,这里存在风险供您评估。它将允许对特定目录具有写访问权限的用户创建 .htaccess 文件并覆盖各种设置:
所以一个具体的例子,你为虚拟主机设置了一个全局白名单,用户可以在他们可以写入的目录中覆盖它。或者他们可以覆盖需要授权用户的全局设置。
有关可以执行的操作的更多信息,请参阅:http : //httpd.apache.org/docs/1.3/mod/core.html#allowoverride
如果它不是共享系统,则风险相当小,因为通常整个网络服务器实例将以同一用户身份运行,因此这与如果有人破解网络服务器会发生什么无关。如果有人可以在您拥有的脚本中找到漏洞并可以编写任意文件,例如您有某种上传接口,则它可能会被利用。