Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Datenbankadministrator (m/w) Controlling
    opta data Abrechnungs GmbH, Essen
  2. Stabsbereichsleiter (m/w) Informationssicherheit
    gkv informatik, Wuppertal
  3. SAP-Berechtigungsspezialist/- in
    Schaeffler Technologies AG & Co. KG, Nürnberg
  4. IT-System-Engineer (m/w) AD und Exchange
    Sharp Electronics GmbH, Hamburg

 

Detailsuche


Top-Angebote
  1. NUR BIS 9. JULI: Crucial-Arbeitsspeicher kaufen und bis zu 45€ Rabatt sichern
  2. NEU: 3 Blu-rays für 20 EUR
    (u. a. Insidious, Casino, Parker, The Purge, Waterworld, Der weiße Hai, Sleepers, Apollo 13...
  3. TOP-TIPP: Amazon-Gutschein im Wert von 40€ kaufen und 10€ geschenkt bekommen
    (Achtung: Anscheinend sind nicht alle User für die Teilnahme berechtigt)

 

Weitere Angebote


Folgen Sie uns
       


  1. Xbox One

    Windows 10 für Spieler und ein neues Halo

  2. #Landesverrat

    Justizminister Maas schmeißt Generalbundesanwalt raus

  3. Piranha Bytes' Elex

    Der Held hat einen Namen

  4. Stratolaunch Carrier

    Größtes Flugzeug der Welt soll 2016 erstmals starten

  5. Android-Schwachstelle

    Stagefright-Exploits wohl bald aktiv

  6. Steam VR

    Augmented Reality für die Zukunft, Virtual Reality für jetzt

  7. Physik-Engine

    Havok FX kehrt zurück

  8. King's Quest - Episode 1 im Test

    Lang lebe der Adventure-König

  9. Android-Verbreitung

    Anteil der Lollipop-Smartphones noch unter 20 Prozent

  10. Spielentwicklung

    Echtwelt-Elemente in Spielen



Haben wir etwas übersehen?

E-Mail an news@golem.de



In eigener Sache: Preisvergleich bei Golem.de
In eigener Sache
Preisvergleich bei Golem.de
  1. In eigener Sache News von Golem.de bei Xing lesen
  2. In eigener Sache Golem.de erweitert sein Abo um eine Schnupper-Version

Deep-Web-Studie: Wo sich die Cyberkriminellen tummeln
Deep-Web-Studie
Wo sich die Cyberkriminellen tummeln
  1. Identitätsdiebstahl Gesetz zu Datenhehlerei könnte Leaking-Plattformen gefährden

Kepler-452b: Die "zweite Erde", die schon wieder keine ist
Kepler-452b
Die "zweite Erde", die schon wieder keine ist
  1. Weltraumteleskop Kepler entdeckt Supererde in der habitablen Zone

  1. Re: "Zeitgemäßes Spielprinzip"

    keböb | 06:21

  2. Re: Halooo!

    Fantasy Hero | 06:19

  3. Re: Auch wenn die Ermittlungen ein Skandal sind

    Moe479 | 06:09

  4. Re: Wenn Mircosoft herginge und eine pro Version

    D43 | 05:50

  5. Re: Damit sind Konsolen dann wirklich nur noch...

    Tzven | 05:27


  1. 21:11

  2. 18:59

  3. 18:03

  4. 17:14

  5. 17:06

  6. 15:13

  7. 14:45

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel