配置错误的Apache站点公开用户密码和其他私有数据

  传媒信息     |      2018-06-19

一项最近的研究项目发现,超过2000个网站——其中一些由财富500强公司、游戏网站和零售店运营——正在公开系统状态信息,攻击者可以利用这些信息来破坏Web服务器或客户帐户。Web安全公司Sucuri的CTO丹尼尔·Cid表示,

网站如staples . com、Cisco . com和axtel . MX运行着流行的Apache Web server应用程序,其功能被称为“启用服务器状态”。他浏览了1000多万个网站,发现有072个网站的状态页面被打开。

页面显示在Web服务器上运行的进程数、各种Web请求的状态以及对站点管理员来说非常宝贵的其他数据。但是,同样的数据(也可以包括他们正在访问的完整URL )也可以帮助那些想要损害访问该站点的客户或用户的攻击者。网站管理员长期以来一直被告诫不要让这些页面对外可见,除非他们有充分的理由不这样做,并且仔细考虑了决定。

HD Moore是rapid 7的CSO,也是Metasploit渗透测试软件框架的总设计师,他花了45分钟的时间回顾Cid的步骤。他用拼凑起来的shell脚本发现,Alexa 10万个顶级网站中有774个通过HTTP或SSL协议公开了状态页面。其中至少有六个网站公开了带有清晰可见的用户名或密码的网址。另外十几个包含了看起来是会话id的内容,用于授权访问网站的受限部分。穆尔告诉Ars :“

[会话] ID s不好,但明文密码更糟,在某些情况下,这些密码通常是通过SSL发送的”。但是服务器状态将它们以明文形式泄漏回去。那太可怕了。

公平地说,对于一些网站被Cid识别的管理员来说,Apache状态页面的曝光有时是一个有意识的决定。只要一个网站的安全性是从头开始设计的,以说明这个决定,并且有充分的理由让页面可以公开访问,那么这个网站可能就可以了。但不清楚为什么思科系统或墨西哥ISP Axtel以外的任何人都需要这些信息。

鉴于将这些信息限制在内部IP地址上很容易,很难理解为什么任何管理员都不会这样做。事实上,在Cid报告周二发表后不久,许多被识别的站点就迅速重新配置了它们的站点。