everything

Everything漏洞描述 [ Everything ]一款搜索文件非常快的工具，其速度之快令人震惊！它还有一个可以通过 HTTP 或 FTP 分享搜索结果 的功能。它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索，并支持文件下载。重点来了， 如果是公网IP的用户，又开启了HTTP访问 ，会让谷歌收录你索引的文件，也就是你硬盘里的文件全部公开在网上了。 漏洞复现 利用google hack在google上搜索 allintitle:Everything C:\Windows 很夸张，检索到的庞大的信息量 基本可以点入，但是很多响应超时。选取几个成功的例子展示 （无意间翻到了韩国友人的漫画收藏地） 开启了http服务的话，还是公网，就会暴露文件到公网。如果不小心开启了ftp服务，会造成任意文件下载泄露的严重后果。 想想看，你自己硬盘上的所有东西，全部公布在公网，不管是什么隐私，都会被看到，非常的危险。 如果需要开启http,ftp服务，记得在Everything http服务中设置用户名和密码 来源： https://www.cnblogs.com/BOHB-yunying/p/11681914.html

1. 漏洞利用成功的前提 公网ip 启用http服务器 2.产生原因 启用http服务器功能点：让用户在本地或局域网上的其他电脑使用浏览器进行搜索，并支持文件下载。若拥有公网IP的用户启用此功能，就是“全网分享”。 3.查找 google语法查找 allintitle: Everything C:\Windows 索引 C:\Windows - Everything Everything 索引 C:\Users 3.影响 可访问，可遍历目录 4.建议 1.若无特殊情况，请勿开启HTTP服务器功能。 2.关闭路由器 DMZ 主机功能 3.必须给 HTTP 服务器设置用户名密码 4.关闭 HTTP 服务器端口的外网访问权限 原文： https://forum.90sec.com/t/topic/533 来源： https://www.cnblogs.com/lanyincao/p/11676816.html