什么是auth_user_file.txt？

Question

我读到了一个安全漏洞，发现很多网站都抓取了这个文件，并出现在搜索结果中。它看起来很重要，但我不知道它做什么/包含什么，而且我似乎找不到任何关于它的信息。我对该文件进行的每一次搜索都会返回有关该漏洞的结果。

这个文件是什么，它包含什么，它的用途是什么？

Answer 1

我假设这些爬虫正在寻找auth_user_file.txt，因为它的名称可能在Apache的mod_authn_file模块的一些教程中给出；当管理员错误地将文件放入who服务器的DOCROOT中时，任何提出请求的人都可以免费下载它。

一旦攻击者下载了该文件，他们就可以暴力破解密码散列，并使用破解的密码和窃取的用户名访问服务器的资源。(或者，他们可能只会根据已知良好的用户名列表来猜测密码；人们有选择password和abc123的习惯……)