安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

梭子鱼网站发现漏洞,泄露用户信息

作者:佚名出处:网界网2013-07-24 16:08

  日前,埃及安全专家Ebrahim Hegazy发现梭子鱼的更新服务器中存在的安全问题,通过该漏洞可以获取到一些用户的凭据。当系统管理员需要去保护一个目录不能被普通用户访问的时候,有很多方法,其中之一就是配置htaccess和htpasswd,当配置了之后,会弹出一个对话框,让用户输入身份验证的凭据,这些凭据保存在htpasswd文件里面,格式如下:Username:Password

  正常情况下,htpasswd文件应该存储在web目录以外(例如C:\AnyName\.htpasswd),但是梭子鱼的文件存储在admin目录下,任意用户可以直接访问下面的链接。http://updates.cudasvc.com/admin/.htpasswd

  通过访问该链接,可以获取所有梭子鱼公司用户的帐号,如:Support、Sales、英国分公司员工的密码、更新服务器用户等,并且这些密码都是明文,如下图:

相关文章

关键词:梭子鱼,漏洞,泄露,用户信息

责任编辑:邵胜子

网警备案