发布时间:1999-11-13
更新时间:1999-11-13
严重程度:低
威胁程度:
服务器信息泄露
错误类型:设计错误
利用方式:
服务器模式
受影响系统
Misc
Netscape Enterprise/3.5.1I
详细描述
在Netscape Enterprise/3.5.1I默认安装下会安装了
Netscape Web Publisher.
此程序可以使用HTTP来访问,如www.xxx.com/publisher,
访问此目录后会装载
java app并询问你的用户名和密码,在空白状态下点击
ENTER,会显示WEB目录
的所有文件,当然也存在着暴力破解法来获得用户名和密
码。最糟糕的是使用
者在此WEB目录下留下了如密码列表,用户名之类的文件。
所以在Netscapte
Enterprise server中保存了/publisher你必须移
除/publisher/.
大家知道?PageServices可以列出ROOT目录
(www.server.com/?PageServices)或
其他特定目录的目录内容列表(www.server.com/html/?
PageService)。即使管
理员设定了目录中默认的页是index.htm或其他的。这可以
网管u家u.bitsCN.com 使一些恶意者获得
一些信息,OK,?PageServices和/publisher/还有更多的
利用方法吗?在配置
不正确的
服务器上,你可以使用
http://www.server.com/?pageservices也可以得到不少
信息。
(这与上面的不同请看P的大小写),这样可以访问远程的
admin page,你可以到
下面的网站去看一下显示的图象,
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/
Admins/lafinanceendirect.htm
测试代码
见描述
解决方案
关闭indexing和删除/publisher/目录
相关信息
评论加载中…
