共享 Webroot

攻击者可以通过包含网站的 webroot 或 Web 内容目录
的开放网络文件共享将恶意内容添加到内部可访问的网站，然后使用 Web 浏览器浏览到该内容以使服务器执行恶意内容。恶意内容一般在 Web 服务器进程的上下文和权限下运行，通常在本地系统或管理员权限下运行，具体取决于 Web 服务器的配置方式。
这种共享访问和远程执行机制可用于横向移动到运行 Web 服务器的系统。例如，使用开放网络共享运行 PHP 的 Web 服务器使攻击者可以上传远程访问工具和 PHP 脚本，以便在特定页面被访问时，在 Web 服务器系统上执行 RAT 病毒。

缓解

如果没有适当保护系统和 Web 服务器以限制特权帐户使用，未经身份验证的网络共享访问和网络/系统隔离，那么允许开放式开发和测试 Web 内容，并允许用户在企业网络建立自己的 Web 服务器的网络很容易受到攻击。
确保通过 Web 服务器访问的目录具有适当的权限。不允许远程访问 webroot 或用于托管 Web 内容的其他目录。禁用在 webroot 中的目录上的执行。确保 Web 服务器进程的权限仅是不使用内置帐户所需的权限；相反，创建特定的帐户来限制跨多个系统的不必要的访问或权限重叠。­

检测

使用文件和进程监控检测非正常 Web 服务器进程何时将文件写入 Web 服务器，以及何时在正常管理时间段外写入文件。使用进程监控来识别 Web 服务器上运行的正常进程，并检测通常不执行的进程。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn