Apache Server Status: Falsch konfigurierte Websites verraten Passwörter
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Prozessingenieur Requirements Management (m/w)
    dSPACE GmbH, Paderborn
  2. Datenbank-Administrator (m/w)
    AEB GmbH, Stuttgart
  3. Softwareentwickler/-in
    NOWEDA, Essen
  4. Product Manager User Interface Design (m/w)
    ATOSS Software AG, München

 

Detailsuche


Folgen Sie uns
       


  1. Selbsttötung

    Wieder ein toter Arbeiter bei Foxconn

  2. Linux

    Opensuse Factory wird Rolling-Release-Distribution

  3. Bau-Simulator 2015

    Schwere Maschinen am PC

  4. Gericht

    Kim Dotcom muss Filmindustrie sein Vermögen offenlegen

  5. Smartphone-Markt wächst

    Samsung verkauft weniger Smartphones

  6. Internet of Things

    Kreditkartennummern und das Passwort 1234

  7. OLED-Lampen

    Allianz in Taiwan will OLED-Licht voranbringen

  8. Libreoffice 4.3

    3D-Modelle, besseres OOXML und Monster-Absätze

  9. Arbeitsspeicher

    Erste Smartphones mit Low-Power-DDR4 erscheinen 2015

  10. Wearables

    Samsung lässt sich runde Smartwatch-Designs patentieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Luftfahrt: Die Rückkehr der Überschallflieger
Luftfahrt
Die Rückkehr der Überschallflieger
  1. Verkehr FBI sorgt sich um autonome Autos als "tödliche Waffen"
  2. Steampunk High Tech trifft auf Dampfmaschine
  3. Aerovelo Eta Kanadier wollen mit 134-km/h-Fahrrad Weltrekord aufstellen

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Shamu Hinweise auf neues Nexus-Smartphone verdichten sich
  2. Translate Community Nutzer sollen Google-Übersetzungen verbessern
  3. Google-Suchergebnisse EU-Datenschützer verlangen weltweite Löschung

    •  / 
    Zum Artikel