[快讯]Apache设置不严,暴露server-status

2012-11-01 215716人围观 ,发现 5 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

10月30日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。
但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
以下是研究人员发现一些大型网站也存在这样的问题:

http://php.net/server-status/ 

http://metacafe.com/server-status/

http://cloudflare.com/server-status/ (FIXED) 
http://disney.go.com/server-status/ (FIXED) 

http://www.latimes.com/server-status/


http://www.staples.com/server-status/

http://tweetdeck.com/server-status/ (FIXED) 

http://www.nba.com/server-status/


http://www.ford.com/server-status/


http://www.cisco.com/server-status/


http://www.chicagotribune.com/server-status/


http://www.yellow.com/server-status/

更多的列表看见:
http://urlfind.org/?server-status
修复方法:
http://httpd.apache.org/docs/2.2/mod/mod_status.html

发表评论

已有 5 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php