Anzeige
Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status: Falsch konfigurierte Websites verraten Passwörter

Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Anzeige

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


eye home zur Startseite
Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Software Tester (m/w)
    VSA GmbH, München
  2. SAP Modulbetreuer / Anwendungsentwickler HCM (m/w)
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt
  3. Senior Software-Entwickler Highly Automated Driving (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim
  4. Software Engineer Adobe AEM im Team Marketing Platform (m/w)
    Daimler AG, Ulm

Detailsuche



Anzeige
Hardware-Angebote
  1. PREISSTURZ: XFX Radeon R9 Fury Triple Fan
    349,00€
  2. GeForce GTX 1080 bei Caseking
  3. TIPP: Amazon-Sale
    (reduzierte Überstände, Restposten & Co.)

Weitere Angebote


Folgen Sie uns
       


  1. Funknetz

    BVG bietet offenes WLAN auf vielen U-Bahnhöfen

  2. Curiosity

    Weitere Hinweise auf einst sauerstoffreiche Mars-Atmosphäre

  3. Helium

    Neues Gas aus Tansania

  4. Streaming

    Netflix arbeitet intensiv an einer Sprachsuche

  5. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  6. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch

  7. Raumfahrt

    Kepler Communications baut Internet für Satelliten

  8. Klage zum Leistungsschutzrecht

    Verlage ziehen gegen Google in die nächste Runde

  9. Wileyfox Spark

    Drei Smartphones mit Cyanogen OS für wenig Geld

  10. Sound BlasterX H7

    Creative erweitert das H5-Headset um Surround-Sound



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

  1. Re: Die Content-Industrie sollte aufhorchen!

    TheUnichi | 16:43

  2. Re: Britische Regierung hat versagt

    Brainfreeze | 16:42

  3. Re: Ältere Win7 Systeme gar nicht für 10 ausgelegt

    exxo | 16:41

  4. Re: Ich suche nie nach einem Filmtitel

    genussge | 16:41

  5. Re: Wer kauft sich vor Monatsende eine neue...

    neocron | 16:40


  1. 17:03

  2. 16:53

  3. 16:44

  4. 15:33

  5. 14:47

  6. 14:00

  7. 13:42

  8. 13:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel