Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Online Produkt Manager / Product Owner (m/w)
    Dievision Agentur für Kommunikation GmbH, Berlin oder Hannover
  2. SAP Inhouse-Berater (m/w)
    Zott SE & Co. KG, Mertingen
  3. Content Manager/in
    text2net GmbH, Bonn
  4. Senior Architect SAP (m/w)
    REALTECH AG, Walldorf

 

Detailsuche


Hardware-Angebote
  1. AB DIENSTAG ERHÄLTLICH: Der neue Kindle Paperwhite mit 300-ppi-Display
    ab 119,99€
  2. GeForce GTX 980 Ti
    ab 739,00€
  3. TIPP: Raspberry Pi 2 Model B
    41,49€

 

Weitere Angebote


Folgen Sie uns
       


  1. First Flight

    Sony stellt Crowdfunding-Plattform für eigene Ideen vor

  2. Prandtl-m

    Nasa will den Mars mit einem Gleitflugzeug erkunden

  3. Turtle-Entertainment-Übernahme

    MTG Media investiert 78 Millionen Euro in E-Sport

  4. Intel Compute Stick im Test

    Der mit dem Lüfter streamt

  5. Gello

    Cyanogenmod zeigt Browser mit umfangreichen Einstellungen

  6. Anhörung

    Telekom will bald Super Vectoring anbieten

  7. VoLTE

    Vodafone ermöglicht LTE-Telefonie mit dem iPhone 6

  8. Sicherheit

    Fehler im Debugger macht Android-Systeme angreifbar

  9. Raumfahrt

    Jan Wörner wird neuer Direktor der Esa

  10. Anonymes Surfen

    Die Tor-Zentrale für zu Hause



Haben wir etwas übersehen?

E-Mail an news@golem.de



IMHO: DNSSEC ist gescheitert
IMHO
DNSSEC ist gescheitert

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  2. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger
  3. Grafikkarte AMD kündigt Radeon R9 Fury X und R9 Nano an

  1. OT: Nur für den Text und Hintergrund die Farben...

    Mixermachine | 13:58

  2. Re: Kann doch kaum beseitigt werden ...

    Trollversteher | 13:55

  3. Re: Installiert. Alles läuft rund.

    HanSwurst101 | 13:55

  4. Re: Das neue Wallpaper irgendwo herunterladen?

    Lala Satalin... | 13:53

  5. Re: Täuschung der Kunden?

    stq66 | 13:53


  1. 13:53

  2. 13:20

  3. 12:35

  4. 12:09

  5. 12:05

  6. 11:15

  7. 11:07

  8. 10:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel