ES 文件浏览器被曝安全漏洞,用户资料可能被盗

最新推荐文章于 2024-07-12 16:42:46 发布
最新推荐文章于 2024-07-12 16:42:46 发布
阅读量867 收藏
点赞数
文章标签: json

开发四年只会写业务代码,分布式高并发都不会还做程序员?  hot3.png

近日,有两名安全研究人员相继曝光安卓应用 ES 文件浏览器的漏洞攻击手法,用户数据可能被窃取。

ES 文件浏览器(ES File Explorer File Manager)是个功能完备的档案管理工具,宣称可于手机上提供媲美电脑桌面的档案管理功能,支持照片、音乐、电影、文件与程序等的管理。该应用在 Google Play 上的安装数量超过1亿,开发商 ES Global 提到应用的全球用户数已突破5亿。

关于该漏洞,安全研究人员 Elliot Alderson 指出,每当使用者打开应用,都会启动 http 服务器,在本地会打开端口 59777。通过这个端口,攻击者可以注入 JSON 有效负载,获得相关用户手机上的照片、档案等文件信息,并且可以直接下载下来。

在该安全研究人员公布成果几小时后,另一位 Android 恶意程式研究人员 Lukas Stefanko 也介绍他在 ES 文件浏览器发现的中间人攻击(MITM)漏洞,攻击者只需连上与用户相同的网络,就能拦截 HTTP 流量——这主要是因为该应用未使用 HTTPS 加密传输协议,使得公共 Wi-Fi 用户承担安全风险。

目前 ES 文件浏览器新版(v 4.1.9.9)已在 Google Play 上架,更新说明提到“修复局域网 http 漏洞“。国内用户可在应用商店等渠道搜索新版,完成应用的更新。

weixin_33834679
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ES 文件浏览器安全漏洞分析(CVE-2019-6447)
晓得哥的博客
02-28 2974
作者:0x7F@知道创宇404实验室 时间:2019.02.27 0x00 前言 ES 文件浏览器(ES File Explorer File Manager application)是一款安卓系统上的文件管理器,它支持在手机上浏览、管理文件。有超过 1 亿次下载量,是目前安卓系统上使用得最广的文件管理器。 2019年1月,由国外安全研究者公开一个关于 ES 文件浏览器安全漏洞(CVE-2019...
ES文件浏览器-4.2.0.2
05-31
"ES文件浏览器-4.2.0.2"是一款针对安卓平台设计的高效、全面的文件管理工具。这款应用以其强大的功能和用户友好的界面在众多文件管理软件中脱颖而出。4.2.0.2是该应用的一个版本更新,通常会包含性能优化、新功能的...
es文件管理器 web服务器,ES文件管理器漏洞 文件会泄露给本地网络上的任何人...
weixin_36091268的博客
08-05 237
在早期的Android手机上,ES文件管理器是管理手机存储的最好方法之一。但是,现在它被出了漏洞。据外媒新闻,安全研究员Elliot Alderson在推特上指出,该应用程序不仅使手机存储更加混乱和错误,还认为会使用户文件容易被盗。根据Alderson的说法,ES文件资源管理器在端口59777上启动HTTP服务器。这使得用户手机对本地网络上的任何人都是开放的,并且有足够的条件来利用它。攻击者可以...
ES文件浏览器严重漏洞,或影响数亿Android用户
mozhe_的博客
01-21 3318
据外媒报道,法国安全专家Robert Baptiste(Twitter ID:Elliot Alderson)在ES文件浏览器ES File Explorer)中发现了一个严重的安全漏洞(CVE-2019-6447),该漏洞可能会暴露数亿Android用户的敏感数据。" ES文件浏览器是一款深受广大Android用户欢迎的文件管理工具,这不仅来源于它的使用方便和功能强大,而且还来源于它的完全免...
es文件浏览器怎么用_ES文件浏览器严重漏洞,或影响数亿Android用户
weixin_39764603的博客
11-14 1067
据外媒报道,法国安全专家Robert Baptiste(Twitter ID:Elliot Alderson)在ES文件浏览器(ES File Explorer)中发现了一个严重的安全漏洞(CVE-2019-6447),该漏洞可能会暴露数亿Android用户的敏感数据。"ES文件浏览器是一款深受广大Android用户欢迎的文件管理工具,这不仅来源于它的使用方便和功能强大,而且还来源于它的完全免费。...
ElasticSearch安全基线
个人博客
12-28 1415
ElasticSearch安全基线 访问控制 1.高危-禁止监听在公网 描述: ES服务监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。 加固建议: 修改ES服务配置文件elasticsearch.yml的network.host配置: network.host: 127.0.0.1或者内网IP,然后重启服务。 2.高危-ES禁用批量删除索引 描述: 批量索引删除操作类似“rm -rf ”删库跑路操作,禁止披露删除可避免恶意或意外的批量删除索引。 加固建议: 修改ES服务的
ES文件浏览器.rar
06-06
ES文件浏览器是一款深受用户喜爱的多功能文件管理应用,它以其强大的功能、简洁的界面和良好的兼容性,在众多的文件管理器中脱颖而出。在Android平台上,ES文件浏览器扮演着核心的角色,帮助用户高效地管理和操作...
ES 文件浏览器 ES File Explorer 4.2.4.5 中文免费版.zip
06-10
ES 文件浏览器是一款多功能的手机文件/程序/进程管理器,可以在手机、电脑、远程和蓝牙间浏览管理文件。是一个功能强大的免费的本地和网络文件管理器和应用程序管理器。适用2.0以上Android机型。ES文件浏览器是一个...
android 仿ES文件浏览器源码.rar
11-02
【Android 仿ES文件浏览器源码解析】 在Android开发中,构建一个强大的文件管理器是一项挑战,而"android 仿ES文件浏览器源码"则提供了一个实现此类功能的参考实例。ES文件浏览器是一款广受欢迎的Android应用,它...
ES文件浏览器
11-18
ES文件浏览器 ES文件浏览器 ES文件浏览器 ES文件浏览器
慎用Wi-Fi,ES文件管理器数据可能被洗劫
chulongni2273的博客
02-15 436
导读 慎用Wi-Fi,ES文件管理器数据洗劫一空 如果您在任何Android系统的智能手机或平板电脑上使用当下流行的文件资源管理应用程序ES FileExplorer,请务必小心了:一名法国安全研究人员BaptisteRobert在该应用程序中发现了一个漏洞(被...
es file explorer pro_ES 文件浏览器安全漏洞分析(CVE-2019-6447)
weixin_39574943的博客
10-27 803
作者:0x7F@知道创宇404实验室时间:2019.02.27原文链接:ES 文件浏览器安全漏洞分析(CVE-2019-6447)0x00 前言ES 文件浏览器(ES File Explorer File Manager application)是一款安卓系统上的文件管理器,它支持在手机上浏览、管理文件。有超过 1 亿次下载量,是目前安卓系统上使用得最广的文件管理器。2019年1月,由国外安全研究...
es浏览器连接电脑找不到服务器,es文件浏览器,教您es文件浏览器怎么连接电脑...
weixin_39616071的博客
07-30 1696
对手机有深入了解的用户就知道,ES文件浏览器安卓版是一款全球使用人数最多的安卓文件管理工具,无论是手机、平板、还是电脑、云端网盘,使用ES文件浏览器安卓版,轻松管理你的文件,安全可靠,是全球超过2亿人的一致选择。那么es文件浏览器怎么连接电脑?不知道的用户就来看看小编为大家整理的教程。手机上的es文件浏览器有什么作用呢?通过ES文件浏览器用户可以在本地、局域网共享、FTP和蓝牙设备中浏览、传输、复...
Ubuntu Core 18 发布:提供 10 年安全更新;美劳工部指控甲骨文薪酬歧视
redditnote的博客
01-23 342
(给技术最前线加星标,每天看技术热点)转自:开源中国、solidot、cnBeta、腾讯科技、快科技等【技术资讯】0、嵌入式系统 Ubuntu Core 18 发布:提供...
您不知道Android的ES File Explorer可以做的19件事
09-13 2385
ES File Explorerprovides Android phone users a fully-featured file manager that explores phones, PCs, and Macs by leveraging LAN, FTP, and Remote Bluetooth. ES File Explorer为Android手机用户提供了一个功能齐全的文件管...
Python应用爬虫下载QQ音乐歌曲!
最新发布
Python_trys的博客
07-12 1156
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970。
【Flask从入门到精通:第三课:http的请求与响应】
weixin_50556117的博客
07-11 903
在 Flask 中,可以很方便的返回自定义状态码,以实现不符合 http 协议的状态码,例如:status code: 666# 应用实例对象def rep():"""常用以下写法"""# """原理"""# """原理"""# response.headers["Company"] = "oldboy" # 自定义响应头# response.status_code = 201 # 自定义响应状态码# 启动项目的web应用程序。
fastjson 如何忽略@type类型解析
01世界的博客
07-10 318
但是在自己实现的过程中发现一个问题Java.lang.ClassCastException: class com.alibaba.fastjson.JSONObject cannot be cast to class。FASTJSON支持AutoType功能,这个功能会在序列化的JSON字符串中带上类型信息,在反序列化时,不需要传入类型,实现自动类型识别。这是因为在序列化是 FastJSON会向redis填充@Type类型,反序列化时,无法根据Type类型值转化为对应的类,导致报错。
es文件浏览器4.0
12-23
ES文件浏览器4.0是一款功能强大的文件管理工具,可以帮助用户在安卓设备上管理文件和应用程序。它具有文件浏览、文件传输、应用程序管理和媒体管理等多种实用功能。 首先,ES文件浏览器4.0提供了多种文件浏览模式,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值