研究员发现Apache设置不严 暴露server-status
3438 点击·0 回帖
灯火互联
楼主
 |  | |
 | 10月30日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。 但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。 图片:s_nopic.gif 以下是研究人员发现一些大型网站也存在这样的问题: http://metacafe.com/server-status/ http://cloudflare.com/server-status/ (FIXED) http://disney.go.com/server-status/ (FIXED) http://www.latimes.com/server-status/ http://www.staples.com/server-status/ http://tweetdeck.com/server-status/ (FIXED) http://www.nba.com/server-status/ http://www.ford.com/server-status/ http://www.cisco.com/server-status/ http://www.chicagotribune.com/server-status/ http://www.yellow.com/server-status/ 更多的列表看见: http://urlfind.org/?server-status 修复方法: | |
 |  |
