freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[快讯]Apache设置不严,暴露server-status
2012-11-01 11:35:58

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

10月30日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。
但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。
以下是研究人员发现一些大型网站也存在这样的问题:


http://php.net/server-status/ 
http://metacafe.com/server-status/ 
http://cloudflare.com/server-status/ (FIXED) 
http://disney.go.com/server-status/ (FIXED) 
http://www.latimes.com/server-status/ 
http://www.staples.com/server-status/ 
http://tweetdeck.com/server-status/ (FIXED) 
http://www.nba.com/server-status/ 
http://www.ford.com/server-status/ 
http://www.cisco.com/server-status/ 
http://www.chicagotribune.com/server-status/ 
http://www.yellow.com/server-status/




更多的列表看见:
http://urlfind.org/?server-status
修复方法:
http://httpd.apache.org/docs/2.2/mod/mod_status.html

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # apache漏洞
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑