gtxyzz

梭子鱼网站发现漏洞 泄露用户信息

gtxyzz 安全防护 2022-12-27 301浏览 0

日前,埃及安全专家Ebrahim Hegazy发现梭子鱼的更新服务器中存在的安全问题,通过该漏洞可以获取到一些用户的凭据。

当系统管理员需要去保护一个目录不能被普通用户访问的时候,有很多方法,其中之一就是配置htaccess和htpasswd,当配置了之后,会弹出一个对话框,让用户输入身份验证的凭据,这些凭据保存在htpasswd文件里面,格式如下:

Username:Password

正常情况下,htpasswd文件应该存储在web目录以外(例如C:\AnyName\.htpasswd),但是梭子鱼的文件存储在admin目录下,任意用户可以直接访问下面的链接。

http://updates.cudasvc.com/admin/.htpasswd

通过访问该链接,可以获取所有梭子鱼公司用户的帐号,如:

Support、Sales、英国分公司员工的密码、更新服务器用户等,并且这些密码都是明文,如下图:

梭子鱼网站发现漏洞 泄露用户信息

梭子鱼网站发现漏洞 泄露用户信息

梭子鱼网站发现漏洞 泄露用户信息

继续浏览有关 安全 的文章
发表评论