Everything HTTP服务缺陷:允许任何人远程访问本地文件

【漏洞原因】

Everything 作为一个文件检索工具,内置了一个HTTP服务器功能,可以实现用户本地或者局域网中的其他用户使用浏览器访问文件,并下载。

此次出现问题的是在公网环境中开放了HTTP服务的主机,如果没有开放此功能并不会有风险,所以不需要卸载Everything。

使用谷歌搜索Everything 索引 C:\user 可以发现有相当数量的主机文件已经暴露:

点击其中一台可以遍历本地所有文件(慌ing):

【安全解决方案】

在官方未发布解决方案前,可以暂时采取以下方案:

1.继续使用HTTP服务器功能:

为HTTP服务器设置用户名和强策略密码

关闭路由器的DMZ主机功能

关闭HTTP服务器端口的外网访问权限

2.不使用HTTP服务器功能:

检查Everything设置,确保HTTP服务器功能关闭

检查路由器的防火墙配置

©️2020 CSDN 皮肤主题: 技术黑板 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值