Anzeige
Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status Falsch konfigurierte Websites verraten Passwörter

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Anzeige

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...

Kommentieren



Anzeige

  1. Network Test Engineer (m/w)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Platform Consultant (m/w) SAP HANA & Data Quality Services
    Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Mitarbeiter/in im IT-Management
    Helmholtz-Gemeinschaft Deutscher Forschungszentren e.V., Berlin
  4. Solution Architect Ariba (m/w)
    CIBER AG, Heidelberg

Detailsuche


Hardware-Angebote
  1. NEU: VTX3D Radeon R9 390, 8GB GDDR5
    279,99€
  2. Google Nexus 5X
    349,00€ statt 429,00€
  3. 50€ Rabatt auf ausgewählte Lenovo-Notebooks
    Gutscheincode "Lenovo50"

Weitere Angebote


Folgen Sie uns
       


  1. Overwatch

    Stufenlos schöner - aber nicht stärker

  2. Opensuse

    Konfigurationstool Yast ist grundlegend überarbeitet worden

  3. Internet der Dinge

    Dein Kühlschrank beobachtet dich

  4. Autonomes Fahren

    US-Transportbehörde will Computer als Fahrer definieren

  5. Oculus Ready

    Bundles aus PC und Rift kosten mindestens 1.500 US-Dollar

  6. Unravel im Test

    Feinwollig schön und frustig schwer

  7. Sparkle-Installer

    Gatekeeper-Sicherung für Macs lässt sich umgehen

  8. Geoblocking

    Paypal kündigt Anbietern von Netflix-VPNs

  9. Sandisk Ultra II 960 GByte im Test

    Die (noch) günstige gute Terabyte-SSD

  10. Sourceforge

    Keine Adware mehr beim Download



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Howto: Windows-Boot-Partitionen mit Veracrypt absichern
Howto
Windows-Boot-Partitionen mit Veracrypt absichern

Time Lab: Großes Kino
Time Lab
Großes Kino
  1. Forscher des IIS Sensoren am Körper bald ganz selbstverständlich
  2. Arbeitsschutz Deutscher Roboter schlägt absichtlich Menschen

Lockdown befürchtet: Die EU verbietet freie Router-Software - oder doch nicht?
Lockdown befürchtet
Die EU verbietet freie Router-Software - oder doch nicht?
  1. Captive Portals Ein Workaround, der bald nicht mehr funktionieren wird
  2. Die Woche im Video Mensch verliert gegen Maschine und iPhone verliert Wachstum
  3. WLAN-Störerhaftung Freifunker machen gegen Vorschaltseite mobil

  1. Re: Deshalb kein PayPal

    violator | 16:08

  2. Da hat doch jemand bei "Kooky" geklaut!

    Lebostein | 16:08

  3. Re: Let's Play

    chamberlander | 16:08

  4. Re: Geld ist gedrucktes Papier, und Banken sind...

    DrWatson | 16:07

  5. Re: ...weil es keine nicht-vernetzten mehr gibt.

    M.P. | 16:06


  1. 16:00

  2. 15:56

  3. 15:14

  4. 14:34

  5. 14:17

  6. 14:00

  7. 12:38

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel