태그 보관물: ftp

ftp

FileZilla FTP 서버는 사용자가 인증하기 전에도 명령에 대한 도움말을 제공합니다 in) (66.240.192.138)> help (000199)10/28/2014 23:07:57 PM – (not

FileZilla 서버를 실행하는 Windows 7 컴퓨터가 있습니다. 나는 잠시 동안 내 통나무를 읽고 있었고, 내가 이해하지 못하는 이상한 발췌를 기록했다.

199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    ABOR   ADAT   ALLO   APPE   AUTH   CDUP   CLNT   CWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    DELE   EPRT   EPSV   FEAT   HASH   HELP   LIST   MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    MFMT   MKD    MLSD   MLST   MODE   NLST   NOOP   NOP
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    OPTS   P@SW   PASS   PASV   PBSZ   PORT   PROT   PWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    QUIT   REST   RETR   RMD    RNFR   RNTO   SITE   SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    STOR   STRU   SYST   TYPE   USER   XCUP   XCWD   XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    XPWD   XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.

로그인하지 않고 누군가 사용 가능한 명령 목록을 얻을 수 있었습니까?

그게 정상인가요?
걱정해야합니까?
예방할 수 있습니까?

전체 서브넷을 차단하는 것 외에도 어떻게해야합니까?



답변

예, 완벽하게 정상입니다. 프로토콜은 우선 인증을 강제하지 않습니다. 익명 인증도 필요하지 않습니다. 실제로 대부분의 ftp 서버는 파일을 제공하기위한 것입니다. 보안 결함으로 간주해서는 안됩니다. ftp 서버로 시도해 볼 수 있습니다. 나는 그것이 예방할 수 없다고 생각합니다.


답변

인증하기 전에 사용해야하는 명령이 있으며 도움이 필요할 수 있습니다.

분명히 USER, PASSAUTH(TLS의 경우).

그러나 예를 들어 HOST( RFC 7151 ). 지원하지 않는 FileZilla 서버

GUI FTP 클라이언트를 사용하더라도 도움이 필요하지 않더라도 클라이언트는 서버가 지원하는 명령을 알아야합니다. 특히 HOST명령에 해당됩니다. 서버가 지원 HOST하는 경우 클라이언트는 먼저 해당 명령을 보내야합니다 USER.

GUI FTP 클라이언트는이 FEAT아닌을 사용 HELP하지만 결과는 동일합니다.

실제로 인증하기 전에 서버가 인증없이 허용되지 않는 명령 HELP또는 FEAT응답 을 나열하지 않도록 선택할 수 있습니다 . 그러나 RFC 2389FEAT 사양에는 이러한 가능성이 명시되어 있지 않습니다. 따라서 이러한 서버 구현은 일부 클라이언트 ( 인증 전에 사용 하여 전체 명령 / 기능을 기대 함) 를 중단시킬 수 있습니다 .FEAT


답변