Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Fachinformatiker/in Systemintegration
    Eschenbach Optik GmbH, Nürnberg
  2. Versuchstechniker/in
    Robert Bosch GmbH, Leonberg
  3. Lead Developer Sensor Algorithms (m/w)
    Bosch Connected Devices and Solutions GmbH, Reutlingen
  4. Informatiker Operations / 3rd Level Support Manager (m/w)
    di support GmbH, Eschborn bei Frankfurt am Main

 

Detailsuche


Spiele-Angebote
  1. Homeworld Remastered Collection - [PC]
    29,99€ (Release 7.5.)
  2. VORBESTELLBAR: LEGO Dimensions
    Release 01.10.
  3. JETZT VERFÜGBAR: GTA 5 (PC)
    59,00€ USK 18

 

Weitere Angebote


Folgen Sie uns
       


  1. Lite

    Huaweis kleines P8 kostet 250 Euro

  2. Test Assassin's Creed Chronicles

    Meuchelmord und Denksport in China

  3. Jobcenter

    Hardware verursachte IT-Ausfall bei Agentur für Arbeit

  4. Piko H0 Smartcontrol

    Pufferküsser fahren Modellbahnen bald mit Android

  5. Maglev

    Magnetschwebebahn bricht mit 603 km/h erneut Rekord

  6. Cross-Site-Scripting

    Zahlreiche Wordpress-Plugins verwenden Funktion fehlerhaft

  7. AMDGPU

    AMD zeigt neuen einheitlichen Linux-Treiber

  8. Alan Wake

    Remedy denkt über Fortschreibung nach

  9. The Ocean Cleanup

    Ein Müllfänger für die Meere

  10. Smartwatch

    So funktioniert der Pulssensor der Apple Watch



Haben wir etwas übersehen?

E-Mail an news@golem.de



Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

Mini-PCs unter Linux: Installation schwer gemacht
Mini-PCs unter Linux
Installation schwer gemacht
  1. Mini-Business-Rechner im Test Erweiterbar, sparsam und trotzdem schön klein
  2. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  3. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC

Fire TV mit neuer Firmware im Test: Streaming-Box wird vielfältiger
Fire TV mit neuer Firmware im Test
Streaming-Box wird vielfältiger
  1. Amazons X-Ray im Hands On Fire TV zeigt direkt Zusatzinformationen zu Filmen
  2. Update Amazon wertet Fire TV auf

  1. Re: verstoß gegen die globalen monopole, mehr nicht

    robinx999 | 15:07

  2. Re: Warum sollte man das finanzieren?

    teenriot* | 15:07

  3. Re: Erstaunlich viele Tesla gesehen

    Moe479 | 15:07

  4. Re: Sie lernen es nie

    tezmanian | 15:07

  5. Re: So ein Quatsch - das ist "Spielen mit Spenden"

    SoniX | 15:06


  1. 14:54

  2. 14:00

  3. 13:04

  4. 12:54

  5. 12:46

  6. 12:36

  7. 12:28

  8. 12:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel