梭子鱼网站发现漏洞 泄露用户信息

安全
日前,埃及安全专家Ebrahim Hegazy发现梭子鱼的更新服务器中存在的安全问题,通过该漏洞可以获取到一些用户的凭据。

日前,埃及安全专家Ebrahim Hegazy发现梭子鱼的更新服务器中存在的安全问题,通过该漏洞可以获取到一些用户的凭据。

当系统管理员需要去保护一个目录不能被普通用户访问的时候,有很多方法,其中之一就是配置htaccess和htpasswd,当配置了之后,会弹出一个对话框,让用户输入身份验证的凭据,这些凭据保存在htpasswd文件里面,格式如下:

Username:Password

正常情况下,htpasswd文件应该存储在web目录以外(例如C:\AnyName\.htpasswd),但是梭子鱼的文件存储在admin目录下,任意用户可以直接访问下面的链接。

http://updates.cudasvc.com/admin/.htpasswd

通过访问该链接,可以获取所有梭子鱼公司用户的帐号,如:

Support、Sales、英国分公司员工的密码、更新服务器用户等,并且这些密码都是明文,如下图:

梭子鱼网站发现漏洞 泄露用户信息 

梭子鱼网站发现漏洞 泄露用户信息 

梭子鱼网站发现漏洞 泄露用户信息

 

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2016-04-06 13:43:45

2010-06-10 22:49:26

邮件存储网关产品梭子鱼

2013-01-30 16:38:05

漏洞梭子鱼

2013-01-05 14:48:51

梭子鱼

2017-12-25 12:41:28

2015-03-14 10:30:58

谷歌漏洞信息泄露

2017-08-10 16:29:36

梭子鱼

2016-04-06 13:36:24

梭子鱼/云存储/安全

2013-04-03 14:44:42

梭子鱼

2016-03-14 11:47:37

梭子鱼/下一代防火墙

2012-11-08 11:02:57

梭子鱼it解决方案应用交付

2011-06-13 17:44:46

2011-11-10 15:45:29

梭子鱼邮件归档

2014-11-27 13:28:55

信息泄露淘宝乌云

2017-11-30 11:42:41

梭子鱼THOMA BRAVO安全企业

2013-10-16 14:13:14

2012-03-15 18:24:49

梭子鱼备份

2014-03-06 11:10:04

2012-11-13 14:32:56

梭子鱼

2009-05-12 10:08:37

点赞
收藏

51CTO技术栈公众号