我有一个管理网站,每个URL都需要一定级别的权限。这些URL之一是用于通过SSH(不同的计算机)删除用户的文件夹。具有此URL所需权限的管理员还可以访问有关每个用户的所有信息(受限于gdpr)。基本上是那种超级管理员。此管理员POST的用户名,它是ssh shell cmd(漏洞)中使用的路径的一部分。我的同事最近指出,权限还不够,即使对于管理员,输入也应得到保护(例如regexp)。那真的有必要吗?我们应该考虑管理员(有权删除所有用户的文件夹的权限)想要入侵虚拟机的情况吗?
我有一个管理网站,每个URL都需要一定级别的权限。这些URL之一是用于通过SSH(不同的计算机)删除用户的文件夹。具有此URL所需权限的管理员还可以访问有关每个用户的所有信息(受限于gdpr)。基本上是那种超级管理员。此管理员POST的用户名,它是ssh shell cmd(漏洞)中使用的路径的一部分。我的同事最近指出,权限还不够,即使对于管理员,输入也应得到保护(例如regexp)。那真的有必要吗?我们应该考虑管理员(有权删除所有用户的文件夹的权限)想要入侵虚拟机的情况吗?