飞牛的漏洞是这个原因吗?
飞牛官方提供了 FN connect 服务,用户可以访问自己的飞牛 NAS 文件。
这个服务的链接地址存在某种比较简单的规律,有心人可以根据规律推算出别人的访问链接。
飞牛的 NAS 存在路径穿越漏洞,在链接中添加../../之类的路径,就可以在没有用户名密码的情况下直接访问到别人 NAS 的根目录,以及所有文件。
不知道上述理解对不对?
如果我上面理解的没问题,那飞牛 NAS 哪怕没有公网 IP ,把飞牛 NAS 放在防火墙后面,仍然会中招。
这个服务的链接地址存在某种比较简单的规律,有心人可以根据规律推算出别人的访问链接。
飞牛的 NAS 存在路径穿越漏洞,在链接中添加../../之类的路径,就可以在没有用户名密码的情况下直接访问到别人 NAS 的根目录,以及所有文件。
不知道上述理解对不对?
如果我上面理解的没问题,那飞牛 NAS 哪怕没有公网 IP ,把飞牛 NAS 放在防火墙后面,仍然会中招。