Netscape Web Publisher问题漏洞描述
在Netscape Enterprise/3.5.1I默认安装下会安装了Netscape Web Publisher.
此程序可以使用HTTP来访问,如www.xxx.com/publisher,访问此目录后会装载
java app并询问你的用户名和密码,在空白状态下点击ENTER,会显示WEB目录
的所有文件,当然也存在着暴力破解法来获得用户名和密码。最糟糕的是使用
者在此WEB目录下留下了如密码列表,用户名之类的文件。所以在Netscapte
Enterprise server中保存了/publisher你必须移除/publisher/. 大家知道?PageServices可以列出ROOT目录(www.server.com/?PageServices)或
其他特定目录的目录内容列表(www.server.com/html/?PageService)。即使管
理员设定了目录中默认的页是index.htm或其他的。这可以使一些恶意者获得
一些信息,OK,?PageServices和/publisher/还有更多的利用方法吗?在配置
不正确的服务器上,你可以使用 http://www.server.com/?pageservices也可以得到不少信息。
(这与上面的不同请看P的大小写),这样可以访问远程的admin page,你可以到
下面的网站去看一下显示的图象, http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/lafinanceendirect.htm
漏洞利用
见上所述
解决办法
关闭indexing和删除/publisher/目录
------------------
绝地苍狼 ,别无选择!
适于打印的主题视图