Everything敏感信息泄露

发表于 | 分类于

Everything敏感信息泄露

Everything是voidtools开发的一款文件搜索工具,官网描述为“基于名称实时定位文件和目录(Locate files and folders by name instantly)

漏洞简介

由于配置中开启了ETP/FTP服务和HTTP服务,并且默认无身份验证,导致可以直接访问,下载服务器上的文件。

配置不当 > 未授权访问 > 敏感信息泄露

漏洞利用

  • fofa搜索引擎搜索目标

avatar

  • 未授权访问

avatar

avatar

修复方式

  • 关闭ETP/FTP服务和HTTP服务或者设置账户密码

    avatar