こんにちは o 共有ホスティングの SHELL アカウントを使用すると、現在アクティブなすべての PHP セッションを基本的に一覧表示できることに気付きました (ls ../../tmp で一覧表示できます)。
また、すべてのユーザーをリストすることもできます(パスワードはありません)
それは正常ですか?
1 に答える
1
アクティブなセッション ファイルを一覧表示することは、実際のファイル自体の内容を読み取ることとは異なります。1 つ目は、共有ホスティングの短所の1つです。2 つ目は、サーバーの構成ミスです。
ファイル/etc/passwdには、セキュリティ上の機密情報は保存されなくなりました。ユーザーが自分自身について表示できるデータのみが保存されるため、公開する必要があります。パスワードは誰でも読めないシャドウファイルに保存されます。
于 2013-07-03T06:42:17.870 に答える