Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Quality Assurance Engineer (m/w) mobile Apps
    PAYBACK GmbH, München
  2. Test Automation Engineer (m/w)
    DAVID Systems GmbH, München
  3. Scrum Master (m/w)
    adviqo AG, Berlin
  4. Wissenschaftliche/r Mitarbeiter/in Digital Humanities
    Deutsche Schillergesellschaft e.V. Deutsches Literaturarchiv Marbach, Marbach

 

Detailsuche


Folgen Sie uns
       


  1. Nachfolger von Google Glass

    Google patentiert Kontaktlinsen mit Kameras

  2. Kleine Fuck-Anfrage

    Welche Begriffe in deutschen Behörden gefiltert werden

  3. Kindle Phone

    Neue Details zur 3D-Technik des Amazon-Smartphones

  4. Phishing-Mail

    BSI warnt vor BSI-Warnung

  5. Gesichtserkennung

    FBI sammelt Millionen Fotos von Unverdächtigen

  6. Truecrypt

    Bislang keine Hintertüren gefunden

  7. Gulp-Umfrage

    IT-Freelancer mit 6.150 Euro Gewinn im Monat

  8. OpenSSL

    OpenBSD mistet Code aus

  9. Menschenrechte

    Schärfere Exportkontrollen für Spähprogramme gefordert

  10. The Elder Scrolls Online

    Zenimax deaktiviert umstrittene Bezahlmethoden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart Highway: Leuchtende Mittelstreifen und Straßenbäume
Smart Highway
Leuchtende Mittelstreifen und Straßenbäume

Auf einer Straße in den Niederlanden ist die Fahrbahnmarkierung mit einer luminiszenten Farbe aufgemalt worden. Die Straßenbemalung ist Teil eines Projekts zu einer intelligenten Straße.

  1. Facebook und Nasa Internetzugang mit Drohnen, Satelliten und Laser
  2. Abwehrsystem Music Israelische Flugzeuge erhalten Laserabwehr gegen Raketen
  3. Internet.org Facebook soll Übernahme von Drohnenhersteller planen

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  2. OpenSSL-Bug Spuren von Heartbleed schon im November 2013
  3. Sicherheitslücke Keys auslesen mit OpenSSL

Test Lego Der Hobbit: I am King under the Mountain
Test Lego Der Hobbit
I am King under the Mountain

Erst kullern die Klötzchen, dann die Lachtränen: Traveller's Tales' chaotische Mischung aus Jump 'n' Run und Action-Adventure ist urkomisch, atmosphärisch dicht und oft mehr Film als Spiel. König unter dem Berg ist nicht Smaug, sondern Slapstick.

  1. Lego Minifigures angespielt Abenteuer mit rund 100 Klassen
  2. Jason Alleman Tastatur aus Lego
  3. Kunststoffklötzchen Lego spielen in Google Chrome

    •  / 
    Zum Artikel