SourceForge空间可任意查看服务器文件导致我的密码泄露事件
SourceForge空间是国外最大的开源免费空间,支持PHP,限制了部分PHP函数和服务器对外发送数据连接,不过我们依然可以在SourceForge空间上搭建各类的网站、博客等,例如Wordpress、Discuz!等等。
因为Sourceforge.net名字太长太难记,大家一般喜欢用SF.net或者SF空间来作简称。SF免费PHP空间用来搭建网站是最合适的了,它具备了其它的免费空间所不具有的优势:速度快,不限制用户注册,有功能强大的空间用户控制。
虽然SourceForge空间也会删除用户的账号,但是这些账号应该在某些地方违反了SourceForge空间的使用规定了。SF空间在很久以前部落就已经开始使用了,并且当时还为了SF空间不能实时刷新缓存而纠结着。现在演示空间还一直放在那里,可以正常访问。
这篇文章内容来自hmoe.me站长的亲身经历,即由于自己使用了同样邮箱和密码的的Godaddy账号和SourceForge账号同时被盗,才发觉SourceForge空间可任意查看服务器文件,很容易就可以泄露自己的隐私。
由于SourceForge空间这么一个“漏洞”,所以想要真正建立一个长久的网站的站长朋友,可以多尝试一些选择:
- 1、百度BAE空间:百度BAE空间安装WordPress-邀请码数据库Url重写伪静态发送邮件云存储
- 2、Linux小红帽:OpenShift redhat推出PaaS云计算应用平台支持PHP、Java、MySQL
- 3、Zend旗下:phpcloud免费PHP空间Zend旗下基于云的PHP开发与部署服务
SourceForge空间可任意查看服务器文件导致我的密码泄露事件
1、由于以前的某次密码泄露事件,导致我使用了同样邮箱和密码的的Godaddy账号和SourceForge账号同时被盗。
2、今天用另一个后来注册的SourceForge账号登入FTP的时候发现了一个问题:SourceForge空间可任意查看服务器文件。
1、用一个SF空间的账号和密码登录服务器。
2、默认的会进入SF空间的自己的项目下,可以看到的是自己项目的文件。
3、但是当你改变了FTP软件的路径。
4、这时候没有任何限制,你就看到别人的项目的全部文件了。
5、这里是部落的安装在SF空间的Wordpress,里面的wp-config.php文件被我直接下载下来,打开一看,里面有账号和密码。
6、当然还有其它的文件,说不定还有其它的“好东西”-比如劲爆照片啥的!!……
1、返回到SF空间的Root目录层。
2、点击Home,进入Users目录。
3、然后就可以看到以字母开头的文件夹了,所有的用户都在这里。
4、如果是freehao123,那么应该点击F文件夹。(点击放大)
5、然后查找第二个字母,进入Fr文件夹。(点击放大)
6、最后,在几万个用户文件夹中,我们终于发现了freehao123这个文件夹了。
7、这个文件夹确定是部落的无疑了。(点击放大)
8、进入文件夹,点击用户,如下图:
9、然后就可以看到用户名下的文件了。
10、当然这里要稍微改一下路径才可以看到。
1、SF空间的此“漏洞”由来已久。查了一下网上的资料,2010-08-18有网站就公布了“SourceForge某站点存在任意读取本地文件漏洞”。
2、漏洞类型:任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件,可能导致产生大量的敏感信息泄露。
3、当然后来SF空间修补了这个漏洞,但是SourceForge空间可查看任意文件一直没有改变,因为官方称SourceForge是一个开源免费平台。
4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的“精神”可佳,可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。
5、只要改变路径就能查看一切项目的任何文件,就算此项目不是自己创建的,这意味着将网站部署于SourceForge,任何其他用户都能对你的数据库进行操作。
6、而且config文件里的密码如果是你常用密码的话... 某些“好奇之士” 难道不会去尝试去登录一下你的Godaddy空间或者其它的平台吗?
1、有人会说加密配置文件,可惜别人都可以直接下载和删除文件,加密什么的都是无助的。
2、建议最好不要使用SourceForge搭建博客和论坛之类的需要数据库的程序,就算是用于演示的测试站,也不要用与自己任何密码相同的密码。
3、就算你用SourceForge存放静态内容,也不要放一些个人“某些”照片、“劲爆”视频、以防某一天自己一不小心就成了百度搜索风云榜的“头号人物”。
文章出自:hmoe 由部落编辑整理,版权归原作者所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
您或许对下面这些文章有兴趣: 本月吐槽辛苦排行榜
-
在经历了天涯和CSDN密码泄漏事件后,我现在保存密码是使用一款软件 keepass,不同帐号的密码都不再一样了。它还可以根据你的要求生成不同强度的密码。
[回复]qi 回复:
@没有如果, 看来我也要用keepass了。话说万一keepass的密码都丢失了,怎么办?
[回复]没有如果 回复:
@qi, 除了密码,还可以设置密匙文件。
https://news.newhua.com/news1/Teach_tools/2008/612/086128542703CDE470KIH775D4KHD40I63GK45CD15I6K45BA548DEH.html
[回复] -
现在都严重了以来lastpass了,什么密码都不记得
[回复] -
我昭博主以上的方法,我找到另一个我的sourceforge帐户进入,有以下文件,
.mozilla
.bash_logout
.bash_profile
.bashrc
.zshrc
没有我在另一帐户的文件的,假若我进入了另一帐户,我对这个帐户的文件可以修改上存吗,博客中曾说过这个空间可能在2013年前关闭,所以我不敢使用这个空间做网站,现在博主可以证实一下吗[回复] -
可以看其他项目文件的情况我老早就发现了,但没有意识到有什么问题,第一次用一个什么软件登录服务器随便点了一个位置就打开别人的文件了。
[回复] -
楼主 能不能推荐个安全稳定性好速度快的免费空间啊,主要写博用。。。
[回复]qi 回复:
@L_sun, %的空间试过没?我觉得#的免费空间还是比较靠谱。
[回复]L_sun 回复:
@qi, 没,可以按照WP吗?有地址能看下速度吗?
[回复]qi 回复:
@L_sun, 空间不支持PHP,所以基本上不能安装PHP程序,只能安装%支持的语言。最大的困难就是使用了。[url]/#-app-engine/[/url]
[回复] -
SF 被黑了。。。
[img]https://ww4.sinaimg.cn/large/50ccfb23gw1dx8mwf2u3pj.jpg[/img]
“ 蒋涛CSDN
转-腾讯安全应急响应中心发现开源软件网站SourceForge. Net的某些服务器疑似被入侵,黑客在正常程序中植入了后门。比如这个地址( https://url.cn/5U6aRZ )的phpmyadmin就多了一个server_sync.php文件,其实它是黑客的一个Web后门。已通知官方。请广大运维人员使用外部文件时,一定要校验文件合法性”[回复] -
还好我们申请成功。。。
如此坑爹的Bug[回复] -
SF 很早前就已经不用了
[回复] -
好吧,我表示我落后了。虽然使用SourceForge的空间很久了,直到昨天chachachade提醒我sf有这个问题并给了我这篇文章的链接时,我才知道。
但这个问题并不是不能解决的。我新建用户进行了测试,发现只要你对自己网站的相应文件(比如wp-config.php)设定正确的权限时,别的用户是不能访问的。我在解决SourceForge空间外发邮件的问题时碰巧看到了那篇文档,碰巧就按照那个方式设置了wp-config.php的权限,目前非本项目成员和非项目管理者是不能看到这个文件的内容的。
文档是:https://sourceforge.net/apps/trac/sourceforge/wiki/Project%20Web%20Email%20Configuration
内容:
Be sure to set the permissions on file that contains your password to not be world readable:
chmod o-r whatever.php[回复]