Abo
  • Services:
Anzeige
Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Apache Server Status: Falsch konfigurierte Websites verraten Passwörter

Apache Server Status
Apache Server Status (Bild: Screenshot Golem.de)

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Daniel Cid vom Sicherheitsunternehmen Sucuri ist der Frage nachgegangen, welche Websites ihren Apache Server Status für jeden lesbar ins Netz stellen. Er hat dazu rund 10 Millionen Websites automatisiert überprüft und dabei zahlreiche Websites gefunden, bei denen das der Fall ist. Die entsprechende Liste hat Cid unter urlfind.org ins Netz gestellt.

Anzeige

Darunter sind bekannte Websites wie php.net, cloudflare.com, disney.go.com, latimes.com, staples.com, tweetdeck.com, nba.com, ford.com, cisco.com und apache.org. Letztere geben an, den Serverstatus bewusst ins Netz zu stellen, andere, wie php.net, cloudflare.com oder latimes.com, haben den Fehler nach einem Hinweis korrigiert.

Der Apache Server Status verrät, welche Zugriffe der jeweilige Webserver gerade verarbeitet, einschließlich IP-Adressen und aufgerufener URLs. Das kann mitunter zu einem Sicherheitsproblem führen, denn Cid fand auf diesem Weg unter anderem die URLs zu einigen Administrationskonsolen für Websites, die ungesichert im Netz stehen. Je nach Konfiguration lässt sich auch ablesen, wie viele Zugriffe und welchen Traffic ein Server verarbeitet.

Der Metasploit-Architekt HD Moore hat die Untersuchung von Cid mit den laut Alexa Top-100.000-Websites nachvollzogen und laut Ars Technica dabei in rund 45 Minuten 1.774 Websites gefunden, die ihren Serverstatus ins Netz stellen. Darunter auch Websites, bei denen Session-IDs oder das Anmeldepasswort der Nutzer im Klartext in der URL auftauchen, die auf der Server-Status-Seite zu sehen sind.

Wie sich der Serverstatus absichern lässt, ist in der Apache-Dokumentation beschrieben.


eye home zur Startseite
Baron Münchhausen. 05. Nov 2012

Falsch konfigurierte Websites ergibt einfach keinen Sinn. Wohl eher falsch konfigurierte...

Korashen 05. Nov 2012

Es stimmt schon, dass der Apache-Status hier nicht das Problem ist, sondern eben die...

Spaghetticode 03. Nov 2012

Da habe ich keine Übermittlung von Passwörtern über URL-Parameter gesehen. Dass kein SSL...

Vanger 02. Nov 2012

Auf meinen Bug-Report vom 17.10.2012 habe ich nur ein "Not a bug" zurückbekommen... Der...

dabbes 02. Nov 2012

Was ist daran unseriös? Nur weil du es als anstößig empfindest muss es ja nichts...



Anzeige

Stellenmarkt
  1. SGH Service GmbH, Hildesheim
  2. Ratbacher GmbH, Hamburg
  3. Chemische Fabrik Budenheim KG, Budenheim
  4. operational services GmbH & Co. KG, Nürnberg


Anzeige
Top-Angebote
  1. 89,90€ (Vergleichspreis ab 129,84€)
  2. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wanna Cry: Wo die NSA-Exploits gewütet haben
Wanna Cry
Wo die NSA-Exploits gewütet haben
  1. Deutsche Bahn Schadsoftware lässt Anzeigetafeln auf Bahnhöfen ausfallen
  2. Wanna Cry NSA-Exploits legen weltweit Windows-Rechner lahm
  3. Mc Donald's Fatboy-Ransomware nutzt Big-Mac-Index zur Preisermittlung

Komplett-PC Corsair One Pro im Test: Kompakt, kräftig, kühl
Komplett-PC Corsair One Pro im Test
Kompakt, kräftig, kühl
  1. Corsair One Pro Doppelt wassergekühlter SFF-Rechner kostet 2.500 Euro

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Re: Ähnliches auch damals bei LCDs mit LED-Backlight

    Apfelbrot | 01:01

  2. Re: Unity ist auch eine vergleichsweise gute Engine

    GenXRoad | 00:59

  3. Re: Marketing scheint bei Unity ein besonders...

    Mithrandir | 00:54

  4. Re: Realitätsflucht

    bombinho | 00:49

  5. und die Umlaute?

    jjfx | 00:44


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel