318
数据统计:302个主题分类,12910个优秀站点,0个站点正在排队审核,428篇站长资讯
  • 本网站目录提供网站快速收录服务,无需添加友情链接,无需等待漫长审核,1元/站1元收录淘宝购买 客服:点击这里给我发消息

  • 当前位置:站长分类目录 » 站长资讯 » 站长新闻 » 文章详细 订阅RssFeed

    涉及 Web 服务器上的 .DS_Store 文件的安全问题

    来源:站长分类目录 浏览:351次 时间:2022-04-28

    Intego 的研究人员发现了一个与 .DS_Store 文件和 Web 服务器相关的有趣问题,在某些情况下可能会导致安全问题。.DS_Store(桌面服务存储)文件是由 Mac OS X 创建的不可见文件,其中包含用于在 Mac 上显示单个文件夹的首选项。它们告诉 Finder 如何显示图标(它们的大小和位置)、文件夹窗口中是否有背景颜色以及其他信息。Finder 为在 Mac 上打开的每个文件夹创建一个 .DS_Store,包括远程文件夹或可移动媒体上的文件夹。

    .DS_Store 文件还可以包含有关其文件夹中其他文件的数据。例如,.DS_Store 文件可能包含其文件夹中的文件名,因此读取 .DS_Store 文件可以提供有关文件夹内容的信息。

    这在 Mac 上不是问题,但可能是 Web 服务器上的问题。Intego 的研究人员发现许多 .DS_Store 文件实际上已被 Google 索引,通过下载它们并阅读它们的内容,可以获得包含在 Web 目录中的部分或全部文件的列表。

    (这是 Mac OS X 上的一个已知问题,它不再影响在 Mac OS X 或 Mac OS X Server 上运行的 Apache;Apple在 2004 年的安全更新中设置了规则,阻止访问这些操作系统上的 .DS_Store 文件。)

    但是 .DS_Store 文件是如何进入 Web 服务器的呢?这可以通过多种方式发生:

    • 用户通过 FTP 将整个文件夹的文件复制到 Web 服务器。在这种情况下,该文件夹中包含的 .DS_Store 文件(或子文件夹中包含的多个 .DS_Store 文件)被复制到 Web 服务器。(请注意,某些 FTP 客户端默认不复制 .DS_Store 文件。)
    • 用户通过选择文件夹中的所有文件,通过 FTP 将文件夹的全部内容复制到 Web 服务器。在正常使用中,.DS_Store 文件不会被复制,但是,如果在用户的 FTP 客户端中显示不可见文件,并且用户只需选择文件夹中的所有文件并将它们复制到 Web 服务器目录,.DS_Store 文件 -和任何其他不可见的文件 - 将被复制到服务器。
    • 用户在 Finder 中安装网络共享,并将文件复制到其中。挂载共享并在 Finder 中显示文件夹的简单操作会创建 .DS_Store 文件。

    这就是 .DS_Store 文件可能成为安全问题的原因。在我们所做的测试中,我们将两个文件放在一个文件夹中:My Secret Files.dmg 和 My Top Secret Product picture.png。我们将该文件夹复制到 Web 服务器,并在 Safari 中加载 .DS_Store 文件。这是我们看到的:

    因此,任何偶然发现该 .DS_Store 文件的人都可以看到该文件夹的部分或全部内容,即使该文件夹中的项目没有直接链接到网页。在上面的示例中,任何人都可以轻松地复制 .dmg 和 .png 文件,只需加载文件的 URL。

    在某些情况下,.DS_Store 文件被 Google 索引,搜索正确的文本字符串会出现数千个。但在其他情况下,怀疑 Mac 用户可能已将文件复制到 Web 服务器的有进取心的黑客可能会花时间尝试使用 /.DS_Store 的不同 Web 目录来查看结果。(显然,他们可以使用脚本自动执行此操作,并在几秒钟内有效地爬取整个网站。)虽然这肯定不会让黑客闯入网站,但它可能会让他们找到不想要的文件供大众消费。

    有些人使用网络服务器来交换文件:他们会给同事或合作伙伴一个 URL,以允许他们访问特定的材料。如果 Web 目录没有密码保护,并且它们包含 .DS_Store 文件,它们可能会将潜在的敏感信息暴露给可能的发现。虽然这不是一个关键问题,但这应该让网站管理员重新考虑他们如何使用他们的网站。至少,确保不复制 .DS_Store 文件是个好主意。但为了安全起见,任何用于交换重要文件的文件夹都应受密码保护。

    还有一点:这一弱点也会影响共享环境中的 Mac。如果网络有一个共享文件夹,其中包含对特定用户具有权限的子文件夹,则任何可以访问主文件夹的用户都可以访问 .DS_Store 文件,并查看那里有哪些文件夹(他们可能无法否则看)。这可能会产生许多后果,因为可能会看到原本不可见的信息。

    版权声明:
    1、本文内容由网友自发贡献,版权归原作者所有。
    2、本站仅提供文章发布平台,文章的内容与本站无关,请真伪自辩,本站不承担相应法律责任。
    3、如发现本站有涉嫌抄袭侵权的内容,请举报并提供相关证据,一经查实,本站将立刻删除侵权内容。
    4、转载请注明本文地址:http://www.z-ml.com/artinfo/271.html