Netscape Web Publisher问题发布时间:1999-11-13 更新时间:1999-11-13 严重程度:低 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Misc详细描述 在Netscape Enterprise/3.5.1I默认安装下会安装了 Netscape Web Publisher. 此程序可以使用HTTP来访问,如www.xxx.com/publisher, 访问此目录后会装载 java app并询问你的用户名和密码,在空白状态下点击 ENTER,会显示WEB目录 的所有文件,当然也存在着暴力破解法来获得用户名和密 码。最糟糕的是使用 者在此WEB目录下留下了如密码列表,用户名之类的文件。 所以在Netscapte Enterprise server中保存了/publisher你必须移 除/publisher/. 大家知道?PageServices可以列出ROOT目录 (www.server.com/?PageServices)或 其他特定目录的目录内容列表(www.server.com/html/? PageService)。即使管 理员设定了目录中默认的页是index.htm或其他的。这可以 使一些恶意者获得 一些信息,OK,?PageServices和/publisher/还有更多的 利用方法吗?在配置 不正确的服务器上,你可以使用 http://www.server.com/?pageservices也可以得到不少 信息。 (这与上面的不同请看P的大小写),这样可以访问远程的 admin page,你可以到 下面的网站去看一下显示的图象, http://www.kitetoa.com/Pages/Textes/Les_Dossiers/ Admins/lafinanceendirect.htm 测试代码 见描述 解决方案 关闭indexing和删除/publisher/目录 相关信息 |
