Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Leiter IT (m/w)
    über JobLeads GmbH, Hamburg
  2. IT-Spezialist (m/w)
    über Hanseatisches Personalkontor Bremen, Großraum Bremen
  3. Ingenieur (m/w) Telekommunikationstechnik
    EWR GmbH, Remscheid
  4. Template Architekt / Consultant "General Ledger & Combined Processes" (m/w)
    Deutsche Telekom Accounting GmbH, Bonn

Detailsuche


Hardware-Angebote
  1. Sapphire AMD Radeon R9 FURY
    549,00€
  2. ARLT-Sale
    (Restposten, Rücksendungen und Gebrauchtware)
  3. Sandisk 16-GB-USB-3.0-Stick
    8,94€

Weitere Angebote


Folgen Sie uns
       


  1. Set-Top-Box

    Neues Apple TV soll teurer werden, aber Sprachsuche bieten

  2. Kickstarter

    Kultkamera Holga soll digital werden

  3. Elektroauto

    Tesla Model X wird teuer

  4. Lenovo Yoga Tab 3 Pro

    10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor

  5. Smartwatches

    Motorola stellt neue Moto 360 und Moto 360 Sport vor

  6. Umfrage

    Jeder vierte Nutzer hat Probleme beim Streaming

  7. Asus GX700

    Übertakter-Notebook läuft mit WaKü und geheimer Nvidia-GPU

  8. Testlauf

    Techniker Krankenkasse zahlt Ärzten Online-Videosprechstunde

  9. Mate S im Hands On

    Huawei präsentiert Smartphone mit Force-Touch-Display

  10. Smartwatch

    Huawei Watch kostet so viel wie Apple Watch



Haben wir etwas übersehen?

E-Mail an news@golem.de



Rare Replay im Test: Banjo, Conker und mehr im Paket
Rare Replay im Test
Banjo, Conker und mehr im Paket
  1. Elite Bundle Xbox One startet ein bisschen schneller
  2. Microsoft Warum Quantum Break nicht für Windows erscheint
  3. Xbox One DVR-Funktion erscheint vorerst nicht in Deutschland

Windows 10 im Upgrade-Test: Der Umstieg von Windows 7 auf 10 lohnt sich!
Windows 10 im Upgrade-Test
Der Umstieg von Windows 7 auf 10 lohnt sich!
  1. Microsoft Neuer Insider-Build von Windows 10
  2. Windows 10 Erfolgreicher als das angeblich erfolgreiche Windows 8
  3. Windows 10 Updates lassen sich unter Umständen 12 Monate aufschieben

TempleOS im Test: Göttlicher Hardcore
TempleOS im Test
Göttlicher Hardcore
  1. Windows-10-Updates Microsoft intensiviert die Geheimniskrämerei
  2. Windows-Insider-Programm Chrome hat Probleme mit Windows 10 Build 10525
  3. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10

  1. Re: Teurer, geringere Reichweite, geringere...

    psi_2k | 08:45

  2. Re: mit HTML5 hörten die Probleme auf

    bofhl | 08:45

  3. Noch mehr Hardware-Schrott

    LCO | 08:44

  4. Re: Erfahrung mit full hd auf 5 Zoll (nexus5)

    WolleVanillebär... | 08:44

  5. Re: wir haben 1000 Leute gefragt...

    violator | 08:44


  1. 08:38

  2. 08:24

  3. 08:18

  4. 22:20

  5. 21:45

  6. 21:17

  7. 18:20

  8. 17:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel