※ 引述《taro3750 (taro)》之銘言： : 前陣子看到板友推薦HFS檔案伺服器架站軟體 : 想說來玩玩看 : 架好之後確定已經建立好使用者名稱與密碼 : 經過測試確定進入資料夾都必須輸入帳密才能登入 : 但今天卻發現有人進入我的檔案伺服器 : 並且下載我的對話紀錄...囧 : 雖然我的對話紀錄是沒有什麼機密資料(應該) : 但是被偷窺的感覺很不好 : 想請問HFS是否有漏洞存在? : 還有我知道他的IP可以採取什麼行動呢?(雖然是浮動IP) HFS的確有些漏洞 http://www.securityfocus.com/bid/27423/info HFS HTTP File Server Multiple Security Vulnerabilities Bugtraq ID: 27423 Class: Unknown CVE: Remote: Yes Local: No Published: Jan 23 2008 12:00AM Updated: Jan 24 2008 08:58PM Credit: Felipe Aragon and Alec Storm of Syhunt Security Research Team are credited with the discovery of these vulnerabilities. Vulnerable: HTTP File Server HTTP File Server 2.3(Beta Build #174) HTTP File Server HTTP File Server 2.3 beta HTTP File Server HTTP File Server 2.2b HTTP File Server HTTP File Server 2.2a HTTP File Server HTTP File Server 2.2 HTTP File Server HTTP File Server 1.5g 使用以上版本HFS的版友請將你的HFS更新。 目前穩定版本並安全的應該是2.2d，2.3還在beta版本 我試用了一下，這篇文章提到的漏洞並沒有辦法可以直接跳過密碼， 不過因為有XSS的問題，如果是高手，也有可能加以利用進而取得資料。 -- ▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁ 國 立 聯 合 大 學 (理工/電資/管理/技術/客家)院所 招生中 National United University ─────────────────────────────────── 首頁 http://www.nuu.edu.tw BBS telnet://uun.twbbs.org -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.133.145.202