Anzeige
Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


eye home zur Startseite
Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. System Software Function Integrator (m/w)
    Continental AG, Frankfurt
  2. Kundenberater (m/w) Facility Management Software
    AKDB, Würzburg
  3. Mitarbeiter (m/w) IT-Support im Außendienst
    ZytoService Deutschland GmbH, Hamburg
  4. System-Administrator (m/w)
    Horváth & Partners Management Consultants, Stuttgart

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Janus 360°

    Neuer Multicopter macht 360-Grad-Videos mit zehn Kameras

  2. Uncharted Fortune Hunter

    Schatzsuche für den Multiplayermodus

  3. Schwere Verluste

    Gopro fällt hart

  4. 100 MBit/s

    EU könnte exklusives Telekom-Vectoring vertieft prüfen

  5. Star Trek Online

    Abenteuer mit der alten Enterprise

  6. Startups

    Siemens hat in 80er Jahren Idee für VoIP abgelehnt

  7. Microsoft

    Windows 10 läuft auf 300 Millionen Geräten

  8. Angry Birds Action im Test

    Wütende Vögel auf dem Flippertisch

  9. Ersatz für MSDN und Technet

    Neue Microsoft-Dokumentation ist Open Source

  10. Mitmachprojekt

    Unsere Leser messen bereits in über 100 Städten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielebranche: "Faule Hipster" - verzweifelt gesucht
Spielebranche
"Faule Hipster" - verzweifelt gesucht
  1. Neuronale Netze Weniger Bugs und mehr Spielspaß per Deep Learning
  2. Spielebranche "Die große Schatztruhe gibt es nicht"
  3. The Long Journey Home Überleben im prozedural generierten Universum

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Kaspersky-Analyse Fast jeder Geldautomat lässt sich kapern
  2. Alphabay Darknet-Marktplatz leakt Privatnachrichten durch eigene API
  3. Verteidigungsministerium Ursula von der Leyen will 13.500 Cyber-Soldaten einstellen

Mitmachprojekt: Wie warm ist es in euren Büros?
Mitmachprojekt
Wie warm ist es in euren Büros?
  1. Mitmachprojekt Temperatur messen und versenden mit dem ESP8266
  2. Mitmachprojekt Temperatur messen und senden mit dem Particle Photon
  3. Mitmachprojekt Temperatur messen und senden mit dem Arduino

  1. Re: Kleidergrößen fallen einfach zu...

    crazypsycho | 20:49

  2. Re: USA-Rufe

    bbk | 20:48

  3. Re: Ohne 60 Hz ist also alles Mist? (Sarkasmus)

    Unix_Linux | 20:48

  4. Re: Soviel zur Dynamik

    john.cord | 20:45

  5. Re: 300 Millionen, die..

    Wallbreaker | 20:36


  1. 17:17

  2. 16:52

  3. 16:20

  4. 16:03

  5. 16:01

  6. 14:25

  7. 14:02

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel