记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

魔泊网云服务权限问题可导致暴露服务器信息及其他用户文件(PaaS云安全隐患)

2014-08-30 20:50

一个简单木马即可访问很多内容,比如passwd,用户UID,用户上传的文件包等等。。

在该网站注册个ID,准备放个小blog试试,由于手贱顺便放个PHP木马,结果没有阻挡。

通过该木马可以查看很多信息,如服务器版本、passwd、网络设置等等等等。

对于已发布的站点还是相对安全些的,跨用户不能访问,但对于用户上传的war zip包,竟然没有任何限制。

随机下了几个别人上传的zip包,发现里面的数据库配置文件,并通过该网站提供的phpmyadmin竟然可以访问,数据真是一览无遗。

漏洞证明:

QQ截图20140716102623.jpg



QQ截图20140716093849.jpg

QQ截图20140716102732.jpg

QQ截图20140716102714.jpg

QQ截图20140716102648.jpg

修复方案:

建议对系统文件权限增加控制,不要小瞧一些黑客,这些暴露的东西,足以进行大规模入侵。


知识来源: www.wooyun.org/bugs/wooyun-2014-068695

阅读:269806 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“魔泊网云服务权限问题可导致暴露服务器信息及其他用户文件(PaaS云安全隐患)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词