我正在阅读有关安全漏洞的信息,发现许多网站都在抓取此文件并显示在搜索结果中。它似乎很重要,但我不知道它的功能/包含内容,我似乎无法在其中找到任何相关信息。我对该文件进行的每次搜索都会返回有关漏洞的结果。
这个文件是什么,它包含什么,目的是什么?
答案 0 :(得分:0)
我认为那些抓取工具正在寻找auth_user_file.txt,因为它的名称可能在Apache的mod_authn_file模块的一些教程中给出;当管理员错误地将文件放入网络服务器的DOCROOT时,任何有问题的人都可以免费下载。
一旦攻击者下载了该文件,他们就可以强制使用密码哈希值,并使用破失的密码和被盗的用户名访问服务器的资源。 (或者,也许他们只是根据已知良好用户名列表来猜测密码;人们习惯于选择password和abc123 ...)