SourceForge空间可任意查看服务器文件导致我的密码泄露事件

---

文章目录

• 我的账号被盗
• 查看用户文件
• 查看服务器文件
• SF空间危害性
• 保护密码与隐私

SourceForge空间是国外最大的开源免费空间，支持PHP，限制了部分PHP函数和服务器对外发送数据连接，不过我们依然可以在SourceForge空间上搭建各类的网站、博客等，例如Wordpress、Discuz!等等。

因为Sourceforge.net名字太长太难记，大家一般喜欢用SF.net或者SF空间来作简称。SF免费PHP空间用来搭建网站是最合适的了，它具备了其它的免费空间所不具有的优势：速度快，不限制用户注册，有功能强大的空间用户控制。

虽然SourceForge空间也会删除用户的账号，但是这些账号应该在某些地方违反了SourceForge空间的使用规定了。SF空间在很久以前部落就已经开始使用了，并且当时还为了SF空间不能实时刷新缓存而纠结着。现在演示空间还一直放在那里，可以正常访问。

这篇文章内容来自hmoe.me站长的亲身经历，即由于自己使用了同样邮箱和密码的的Godaddy账号和SourceForge账号同时被盗，才发觉SourceForge空间可任意查看服务器文件，很容易就可以泄露自己的隐私。

由于SourceForge空间这么一个“漏洞”，所以想要真正建立一个长久的网站的站长朋友，可以多尝试一些选择：

• 1、百度BAE空间：百度BAE空间安装WordPress-邀请码数据库Url重写伪静态发送邮件云存储
• 2、Linux小红帽：OpenShift redhat推出PaaS云计算应用平台支持PHP、Java、MySQL
• 3、Zend旗下：phpcloud免费PHP空间Zend旗下基于云的PHP开发与部署服务

SourceForge空间可任意查看服务器文件导致我的密码泄露事件

一、事情起因：我的Godaddy账号被盗了

1、由于以前的某次密码泄露事件，导致我使用了同样邮箱和密码的的Godaddy账号和SourceForge账号同时被盗。

2、今天用另一个后来注册的SourceForge账号登入FTP的时候发现了一个问题：SourceForge空间可任意查看服务器文件。

二、SourceForge空间可查看任意用户文件

1、用一个SF空间的账号和密码登录服务器。

2、默认的会进入SF空间的自己的项目下，可以看到的是自己项目的文件。

3、但是当你改变了FTP软件的路径。

4、这时候没有任何限制，你就看到别人的项目的全部文件了。

5、这里是部落的安装在SF空间的Wordpress，里面的wp-config.php文件被我直接下载下来，打开一看，里面有账号和密码。

6、当然还有其它的文件，说不定还有其它的“好东西”-比如劲爆照片啥的！！……

三、SourceForge空间可任意查看服务器所有文件

1、返回到SF空间的Root目录层。

2、点击Home，进入Users目录。

3、然后就可以看到以字母开头的文件夹了，所有的用户都在这里。

4、如果是freehao123，那么应该点击F文件夹。（点击放大）

5、然后查找第二个字母，进入Fr文件夹。（点击放大）

6、最后，在几万个用户文件夹中，我们终于发现了freehao123这个文件夹了。

7、这个文件夹确定是部落的无疑了。（点击放大）

8、进入文件夹，点击用户，如下图：

9、然后就可以看到用户名下的文件了。

10、当然这里要稍微改一下路径才可以看到。

四、SourceForge空间可查看任意文件的危害性

1、SF空间的此“漏洞”由来已久。查了一下网上的资料，2010-08-18有网站就公布了“SourceForge某站点存在任意读取本地文件漏洞”。

2、漏洞类型：任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件，可能导致产生大量的敏感信息泄露。

3、当然后来SF空间修补了这个漏洞，但是SourceForge空间可查看任意文件一直没有改变，因为官方称SourceForge是一个开源免费平台。

4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的“精神”可佳，可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。

5、只要改变路径就能查看一切项目的任何文件，就算此项目不是自己创建的，这意味着将网站部署于SourceForge，任何其他用户都能对你的数据库进行操作。

6、而且config文件里的密码如果是你常用密码的话... 某些“好奇之士” 难道不会去尝试去登录一下你的Godaddy空间或者其它的平台吗？

五、如何避免SourceForge泄露自己的密码与隐私

1、有人会说加密配置文件，可惜别人都可以直接下载和删除文件，加密什么的都是无助的。

2、建议最好不要使用SourceForge搭建博客和论坛之类的需要数据库的程序，就算是用于演示的测试站，也不要用与自己任何密码相同的密码。

3、就算你用SourceForge存放静态内容，也不要放一些个人“某些”照片、“劲爆”视频、以防某一天自己一不小心就成了百度搜索风云榜的“头号人物”。

文章出自：hmoe 由部落编辑整理，版权归原作者所有。本站文章除注明出处外，皆为作者原创文章，可自由引用，但请注明来源。