Test File Permission (fa-IR)

آزمایش مجوز فایل (فارسی)

خلاصه

هنگامی که به یک منبع تنظیمات مجوز داده می شود که دسترسی به طیف وسیع تری از بازیگران را نسبت به نیاز فراهم می کند، می تواند منجر به افشای اطلاعات حساس یا تغییر آن منبع توسط اشخاص ناخواسته شود. این امر به ویژه زمانی خطرناک است که منبع مربوط به پیکربندی برنامه، اجرا یا داده های حساس کاربر باشد.

یک مثال واضح یک فایل اجرایی است که توسط کاربران غیرمجاز قابل اجرا است. برای مثال دیگر، اطلاعات حساب یا یک مقدار رمز برای دسترسی به یک API - که به طور فزاینده ای در سرویس های وب مدرن یا میکروسرویس ها دیده می شود - ممکن است در یک فایل پیکربندی ذخیره شود که مجوزهای آن به طور پیش فرض روی قابل خواندن جهانی (world-readable) از نصب تنظیم شده است. چنین داده‌های حساسی می‌توانند توسط عوامل مخرب داخلی میزبان یا توسط یک مهاجم از راه دور که سرویس را با آسیب‌پذیری‌های دیگر در معرض خطر قرار داده است، اما تنها یک امتیاز کاربر عادی را به دست آورده است، افشا شود.

اهداف آزمایش

• هر گونه مجوز فایل سرکش (rogue) را بررسی و شناسایی کنید.

چگونه آزمایش کنیم

در لینوکس، از دستور ls برای بررسی مجوزهای فایل استفاده کنید. متناوبا، namei همچنین می تواند برای فهرست کردن مجوزهای فایل به صورت بازگشتی استفاده شود.

$ namei -l /PathToCheck/

فایل‌ها و دایرکتوری‌هایی که نیاز به آزمایش مجوز فایل دارند شامل موارد زیر است اما محدود به آنها نیست:

• فایل های وب / دایرکتوری
• فایل های پیکربندی / دایرکتوری
• فایل های حساس (داده های رمزگذاری شده، رمز عبور، کلید) / دایرکتوری
• فایل‌های گزارش (گزارش‌های امنیتی، گزارش‌های عملیات، گزارش‌های مدیریت) / دایرکتوری
• فایل های اجرایی (اسکریپت ها، EXE، JAR، کلاس، PHP، ASP) / دایرکتوری
• فایل های پایگاه داده / دایرکتوری
• فایل های موقت / دایرکتوری
• آپلود فایل / دایرکتوری

اصلاح

مجوزهای فایل ها و دایرکتوری ها را به درستی تنظیم کنید تا کاربران غیرمجاز نتوانند بدون نیاز به منابع مهم دسترسی داشته باشند.

ابزارها

• Windows AccessEnum
• Windows AccessChk
• Linux namei

منابع

• CWE-732: Incorrect Permission Assignment for Critical Resource