Estou executando o Ubuntu com Apache em um servidor. Quero experimentar o upload de arquivos para o servidor usando POST. No php.ini você pode definir a pasta a ser usada ao enviar arquivos. O padrão é usar a pasta /tmp do sistema.
Minha pergunta:O uso da pasta /tmp padrão é uma vulnerabilidade de segurança?
Alguns dados podem ser comprometidos ou alterados para usar a pasta /tmp como pasta temporária?
Responder1
Gerenciamento de sessão
Os recursos de sessão padrão do PHP são considerados seguros, o PHPSessionID gerado é aleatório o suficiente, mas o armazenamento não é necessariamente seguro:
- Os arquivos de sessão são armazenados na pasta temporária (/tmp) e podem ser gravados mundialmentea menos que o suPHP esteja instalado, então qualquer LFI ou outro vazamento pode acabar manipulando-os.
O mesmo se aplica aos arquivos que você armazena em /tmp/si mesmo.
Mais leitura: