關於 centos yum update ，我們在網路上蒐集到這些相關的討論、資訊與評價

這篇的起源來自作者的朋友發消息給他，說發現自己的網站有XSS漏洞，請他幫忙看看。
經過研究他發現攻擊者可以
1. 將資料庫裡面的資料一次導出，將資料公開
2. 刪除/修改資料庫裡的所有資料
3. 如果想要的話再回訪的話可以留個後門隨時回來
4. 安裝可病毒傳播的惡意程式到伺服器內部網路
5. 安裝勒索程式 (挾持多家公司的資料庫做人質不是件小事)
6. 利用這台伺服器挖礦
7. 利用這台伺服器做C2C服務
8. 利用這台伺服器做殭屍網路的一部分
9. .......(許多許多, 請自己想像)
10. rm-rf (不是開玩笑的)
他看到弱點出現在 :
1. 沒有上傳檔案權限的Web 應用很容易攻擊
2. MySQL資料庫的認證書(credentials)讓他可以一次駭入那台伺服器的35家公司的資料庫
3. 敏感檔案都是可讀的
緩解辦法:
1. 從Uploader開始解(這是他可以攻擊的立足點)，他的朋友的網站後端是用perl寫的, 對他來說他會比較建議不要用perl (不過他開放給讀者評論是否他錯了, 因為他不是perl程式人)
2. filesystem: 基於最少權限的原則給使用者適當的權限
3. 將所有的網站都在同一台伺服器執行是很不好的方法，他想(但不確定) dockeried approach也許可解決這問題
4. 給所有的資料庫同一個認證書(credentials)是很不好的作法，這會造成一點突破全部中標
5. 補丁所有一切。基本上就一個命令 su -c 'yum update' (CentOS用)
🍀 網路安全相關課程 https://goo.gl/3SqbTn