Everything “HTTP 服務器”功能安全漏洞:允許任何人遠程訪問本地文件

來自 @okzero 的消息《Everything軟件使用提醒》:

提醒一下吧!可能有些人已經看到這個消息了。 關于 “Everything” 軟件的使用安全,用 Google 搜索 “xxx” 會出現很多電腦文檔,直接就可以訪問他人電腦文件了。啟用 http 服務器功能內網應該是沒問題的,但公網就很不安全了,可能被 Google 爬,至少也要加密先。

Everything “HTTP 服務器”功能安全漏洞:允許任何人遠程訪問本地文件 1

Everything 安全漏洞原因

作為一款優秀的文件檢索工具,Everything 提供了一個名為 HTTP 服務器的功能,它可以讓用戶在本地局域網上的其他電腦使用瀏覽器進行搜索,并支持文件下載:

Everything 選項,HTTP 服務器設置頁面

比如辦公室有一臺電腦打開了 HTTP 服務器 功能,相當于這臺電腦成為了一臺網頁服務器,辦公室的所有電腦都可以通過指定端口訪問到這個搜索頁面:

這是一個在互聯網上泄漏的 Everything HTTP 服務器搜索頁面截圖
這是一個在互聯網上泄漏的 Everything HTTP 服務器搜索頁面截圖

并且還可以進行文件下載。這在本機,或者局域網內是一件非常方便的事情。但這個頁面被搜索引擎檢索,就不是一件好事了。

導致的后果

當你的 Everything 搜索頁面被公網搜索引擎檢索并被其他人發現后,你的硬盤內容就完全暴露在了陌生人面前,對方可以隨意瀏覽、搜索并下載你的文件。

如何解決

如果要繼續使用 HTTP 服務器功能:

  • 請為 HTTP 服務器設置用戶名密碼
  • 關閉路由器 DMZ 主機功能
  • 關閉 HTTP 服務器端口的外網訪問權限

如果不使用 HTTP 服務器功能:

  • 確保 Everything 的 HTTP 服務器功能關閉
  • 檢查路由器的防火墻設置

而對于辦公室用戶,盡快通知 IT 人員。

另外,相信 Everything 會很快修復此問題。作為一款使用了超過 10 年的必備軟件,青小蛙對 Everything 還是十分有感情的。

22 條留言

  1. cataerogong 2019/10/13 回復
    • maple3142 2019/10/14 回復
  2. 路人乙 2019/10/14 回復
  3. 請勿帶節奏 2019/10/14 回復
    • 青小蛙 2019/10/14 回復
  4. 青小蛙 2019/10/15 回復
    • 北端和氣 2019/10/15 回復
  5. 留個言 2019/10/16 回復

寫留言

老时时彩开奖走势图360