Наткнувся на відео Готуємося до сертифікації з кібербезпеки. Лаб 14 (Path Traversal) де розказується про популярну дірку на самописах. Власне про такий спосіб я знаю, але згадав що в мене крутиться пара сервісів, які я не перевіряв.
Ставити контейнер/віртуалку я не хочу, візуально наче захист в софті передбачений, але я не дуже второпав як нульовий байт може обходити валідатор. Через це накрутило. Думаю, чи існує додатковий шлях на прикладі systemd заборонити доступ за рамками наприклад WorkingDirectory. Не рідонлі а взагалі читання /etc/*, /log/* де не кожна прога ставить безпечні права типу 0600 (сабж).
Ось є цікава нотатка Ізолюємо процес від доступу до мережі. Думаю так само для файлової системи додати шар захисту. Хто знає, чи можливо?