[快讯]Apache设置不严,暴露server-status

2012-11-01 143184人围观 ,发现 5 个不明物体 漏洞资讯

10月30日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。
但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
以下是研究人员发现一些大型网站也存在这样的问题:

http://php.net/server-status/ 

http://metacafe.com/server-status/

http://cloudflare.com/server-status/ (FIXED) 
http://disney.go.com/server-status/ (FIXED) 

http://www.latimes.com/server-status/


http://www.staples.com/server-status/

http://tweetdeck.com/server-status/ (FIXED) 

http://www.nba.com/server-status/


http://www.ford.com/server-status/


http://www.cisco.com/server-status/


http://www.chicagotribune.com/server-status/


http://www.yellow.com/server-status/

更多的列表看见:
http://urlfind.org/?server-status
修复方法:
http://httpd.apache.org/docs/2.2/mod/mod_status.html

发表评论

已有 5 条评论

取消
Loading...
css.php