Information Leakage уразливість в Apache

16:17 15.10.2010

05.09.2010

У квітні, 16.04.2010, я знайшов Information Leakage уразливість в Apache. Дірку я виявив на сайті http://www.disperindag-jabar.go.id. Про що найближчим часом повідомлю розробникам Apache.

Стосовно уразливостей в Apache, раніше я вже писав про уразливість в Apache Tomcat.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб сервера.

15.10.2010

Information Leakage:

Дану уразливість я назвав Forced Directory Indexing. Коли при спеціальному запиті до сайта виводиться зміст папки (при цьому обходяться будь-які індексні файли).

http://site/%3f/

Таким чином можна отримати зміст будь-якої папки на сайті, тобто відбувається витік інформації.

Спочатку я вирішив, що це уразливість в Apache (зокрема в Apache 1.3.37). Хоча я виявив її лише на одному сайті й більше не знайшов жодного вразливого сайта (з цією чи іншими версіями Apache). Але після розмови з розробниками Апача вияснилося, що це особливість конфігурації одного конкретного сайта і сам веб сервер не є вразливим. Тому адмінам сайтів на Apache варто бути більш уважними при використанні Options Indexes та Path Info.


Leave a Reply

You must be logged in to post a comment.