梭子鱼网站发现漏洞,泄露用户信息

2013-07-25 92444人围观 ,发现 8 个不明物体 资讯

日前,埃及安全专家Ebrahim Hegazy发现梭子鱼的更新服务器中存在的安全问题,通过该漏洞可以获取到一些用户的凭据。

当系统管理员需要去保护一个目录不能被普通用户访问的时候,有很多方法,其中之一就是配置htaccess和htpasswd,当配置了之后,会弹出一个对话框,让用户输入身份验证的凭据,这些凭据保存在htpasswd文件里面,格式如下:

Username:Password

正常情况下,htpasswd文件应该存储在web目录以外(例如C:\AnyName\.htpasswd),但是梭子鱼的文件存储在admin目录下,任意用户可以直接访问下面的链接。

http://updates.cudasvc.com/admin/.htpasswd

通过访问该链接,可以获取所有梭子鱼公司用户的帐号,如:

Support、Sales、英国分公司员工的密码、更新服务器用户等,并且这些密码都是明文,如下图:

发表评论

已有 8 条评论

取消
Loading...
css.php