[EMAIL PROTECTED] wrote:
>
> вот что было в том давнем отчете - похоже это как раз такой случай
>
> Поиск пользователей
> Описание
>
> При включенном на сервере модуле
> mod_userdir возможно определение
> наличия пользователя в системе. В
> дальнейшем атакующий может
> воспользоваться этим для подбора
> пароля к существующему пользователю.
>
> Например: /~root
>
> Решение
>
> Отключить использование модуля
> mod_userdir.
>
> Ссылки
>
Спасибо за ссылку, запустил проверку.
Ну c /~root всё понятно - все знают, что такой пользователь есть. Но это не
уязвимость - директория рута не доступна для чтения apache-пользователю,
поэтому не стоит об этом беспокоиться.
Но как можно обнаружить других пользователей системы с помощью модуля
mod_userdir? - вот вопрос! Какие в этом модуле слабые места?
--
View this message in context:
http://www.nabble.com/-------tf2049662.html#a5646653
Sent from the debian-russian forum at Nabble.com.