http://www.securitylab.ru/news/301002.php:
Администраторы веб-узлов и просто люди обычно пользуются FTP, чтобы загрузить файлы с компьютера на сайт – и обратно. Как всегда, компания Microsoft решила облегчить жизнь пользователю: встроила в Windows функции для работы с протоколом передачи данных.
Internet Explorer – поддерживает FTP исключительно для удобства. Браузер заботливо включит в сохраненный файл(*.html, *.htm, *.mht) – имя пользователя и пароль, потому что они являются частью URL (ftp://myusername@mywebsite.com). По соображениям безопасности – IE сохраняет адреса страниц скачиваемых объектов.
Если скачать с FTP файл: отредактировать его и выложить обратно то любой, просматривающий эту страницу, сможет получить связку login/password для доступа к ресурсам сайта.
<!-- saved from url=(0041)ftp://admin:1234@mat/aaa.html -->
<html><head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1251">
</meta><meta content="MSHTML 6.00.2900.3132" name=GENERATOR></meta></head>
<body><pre><h1>aaaa</h1></pre></body></html>
Интересно, почему раньше этого не замечали?
Потому что, кто из seclab нашел новость по данной уязвимости и ее опубликовали…
Mark
September 6th, 2007
Замечали, но хватало ума пожинать плоды и молчать. Я сам, в те далекие годы, когда пользовался Windows, использовал Internet Explorer. Но со всеми FTP общался через FAR. По двум причинам:
1. быстрее и удобнее настраивается;
2. работает.
Genn
November 12th, 2007