日前，埃及安全專家Ebrahim Hegazy發(fā)現(xiàn)梭子魚的更新服務(wù)器中存在的安全問題，通過該漏洞可以獲取到一些用戶的憑據(jù)。

當(dāng)系統(tǒng)管理員需要去保護一個目錄不能被普通用戶訪問的時候，有很多方法，其中之一就是配置htaccess和htpasswd，當(dāng)配置了之后，會彈出一個對話框，讓用戶輸入身份驗證的憑據(jù)，這些憑據(jù)保存在htpasswd文件里面，格式如下：

Username:Password

正常情況下，htpasswd文件應(yīng)該存儲在web目錄以外(例如C:\AnyName\.htpasswd)，但是梭子魚的文件存儲在admin目錄下，任意用戶可以直接訪問下面的鏈接。

http://updates.cudasvc.com/admin/.htpasswd

通過訪問該鏈接，可以獲取所有梭子魚公司用戶的帳號，如：

Support、Sales、英國分公司員工的密碼、更新服務(wù)器用戶等，并且這些密碼都是明文，如下圖：