日前,印度安全性权威专家Ebrahim Hegazy发现梭子鱼的升级网络服务器中具有的安全隐患,根据该漏洞可以获得到一些用户的凭证。
当网站管理员必须去维护一个文件目录不可以被一般用户浏览的情况下,有很多方式,在其中之一便是配备htaccess和htpasswd,当配置了以后,会弹出来一个提示框,让用户键入身份认证的凭证,这种凭证储存在htpasswd文档里边,文件格式如下所示:
Username:Password通常情况下,htpasswd文档应当储存在web文件目录之外(例如C:\AnyName\.htpasswd),可是梭子鱼的文件传送在admin文件目录下,随意用户可以同时浏览下边的连接。
http://updates.cudasvc.com/admin/.htpasswd根据浏览该连接,可以获得全部梭子鱼企业用户的账号,如:
Support、Sales、法国子公司职工的登陆密码、升级网络服务器用户等,而且这种登陆密码全是密文,如下图:
