[快讯]Apache设置不严,暴露server-status

2012-11-01 235249人围观 ,发现 5 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

10月30日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。
但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
以下是研究人员发现一些大型网站也存在这样的问题:

http://php.net/server-status/ 

http://metacafe.com/server-status/

http://cloudflare.com/server-status/ (FIXED) 
http://disney.go.com/server-status/ (FIXED) 

http://www.latimes.com/server-status/


http://www.staples.com/server-status/

http://tweetdeck.com/server-status/ (FIXED) 

http://www.nba.com/server-status/


http://www.ford.com/server-status/


http://www.cisco.com/server-status/


http://www.chicagotribune.com/server-status/


http://www.yellow.com/server-status/

更多的列表看见:
http://urlfind.org/?server-status
修复方法:
http://httpd.apache.org/docs/2.2/mod/mod_status.html

相关推荐
发表评论

已有 5 条评论

取消
Loading...
cs24

国内某大型甲方安全工程师

71 文章数 20 评论数 0 关注者

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php