Apache Server Status für zahlreiche Domains einsehbar

von Andreas Hackl | 0 | 2904 Aufrufe

Anzeige Hier werben

Eine Untersuchung sollte die Frage beantworten, wie viele Domains die Ausgabe der Server-Status-Option des Webservers Apache über das Netz bewusst als auch unbewusst verfügbar machen. Hierzu wurden über einen automatisierten Prozess 10 Millionen Domains untersucht. Das Ergebnis, welches nun von Daniel Cid vom Sicherheitsunternehmen Sucuri veröffentlicht wurde, überrascht. Denn von etlichen Seiten ist der Server Status öffentlich einsehbar, darunter auch von namhaften Namen wie ford.com, openoffice.org oder bvb.de.

Im Falle, dass Passwörter via GET und im Klartext übertragen werden, können diese durch Betrachten der Status-Seite gesehen und gestohlen werden. Um dies zu verhindern, sollten Verantwortliche die dargestellten Informationen einschränken oder die Funktion gänzlich deaktivieren. Eine Anleitung dazu liefert die Dokumentation des Webservers.

Eine volle Liste der am Ende der Untersuchung gefundenen Seiten kann über urlfind.org/?server-status eingesehen werden. Mittlerweile haben jedoch viele Adminstratoren reagiert und die Informationen der Status-Seite eingeschränkt oder gänzlich vor ungewolltem Zugriff geschützt.

Über den Autor: Andreas Hackl
Hat Internetbasierte Systeme an der FH Trier studiert und sieht sich völlig selbstverständlich als Netzbürger.
Profilseite betrachten