Pergunta de segurança sobre a configuração de httpd.conf AllowOverride

5

Estou trabalhando em um site onde precisarei usar comandos de reescrita no .htaccess. Ele não está funcionando e finalmente rastreou o problema onde precisarei definir

"AllowOverride All" no meu httpd.conf do Apache

Eu estou querendo saber se há alguma preocupação de segurança que eu deveria estar ciente quando eu mudar a configuração de "AllowOverride None" para "AllowOverride All"?

Obrigado!

    
por forestclown 19.01.2011 / 07:37

1 resposta

5

Boa pergunta, e a resposta é sim, há um risco aqui para você avaliar. Ele permitirá que um usuário que tenha acesso de gravação a um diretório específico crie um arquivo .htaccess e sobrescreva várias configurações:

  • Configurações de autenticação
  • Limites, como listas de permissões de IP / listas negras
  • Como tipos de arquivos são tratados
  • Opções nesse diretório

Portanto, um exemplo concreto de configuração de uma lista de desbloqueio global para um host virtual, o usuário pode sobrescrever isso no diretório em que ele pode gravar. Ou podem sobrescrever suas configurações globais que exigem um usuário autorizado.

Para saber mais sobre o que pode ser feito, consulte: link

Se não for um sistema compartilhado, o risco é mínimo, pois normalmente toda a instância do servidor da Web será executada como o mesmo usuário, portanto, isso não é realmente o que acontece se alguém invadir o servidor da web. Pode ser explorado se alguém puder encontrar um buraco em um script que você tenha e puder escrever um arquivo arbitrário, digamos que você tenha algum tipo de interface de upload.

    
por 19.01.2011 / 07:53