紧急通知:服务器使用EveryThing文件搜索的用户,请即可检查是否开启了http服务!

[云计算] 季雨林 2019/10/12 17:33:40

今日看到有网友发现EveryThing的搜索结果有暴露在公网的案例。从而发现这个危险情况:

危险条件:

1,暴露公网IP的机器

无论是 阿里云 腾讯云 等各种云服务器,还是托管的或者自行搭建的物理服务器,甚至连家用电脑也包括,只要你的机器最终能够对外暴露80端口,那么就符合这一条。

2,启用了EveryThing文件搜索的用户,并且使用的EveryThing支持http管理

本身这个操作没错,因为这算是正常的使用过程,但是一旦配合第一条出现,就成了“无须授权即可公网访问”,从而把自己的电脑数据暴露在公网。



特别强调一下,这个服务本身是为了方便实用所提供,正常来讲应该“不暴露在公网”。

不适合暴露公网原因太简单:因为缺少权限校验功能!这个缺陷跟所有基于内网设计需求的软件有着相同的原因,比如之前利用memcached进行反射攻击的漏洞,也是因为内网服务暴露在公网这样一个“预料外的”用途所致。



原文地址: https://www.opengps.cn/Blog/View.aspx?id=483 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示


鲁ICP备14008001号-2