Information Leakage уразливість в Apache
16:17 15.10.201005.09.2010
У квітні, 16.04.2010, я знайшов Information Leakage уразливість в Apache. Дірку я виявив на сайті http://www.disperindag-jabar.go.id. Про що найближчим часом повідомлю розробникам Apache.
Стосовно уразливостей в Apache, раніше я вже писав про уразливість в Apache Tomcat.
Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб сервера.
15.10.2010
Information Leakage:
Дану уразливість я назвав Forced Directory Indexing. Коли при спеціальному запиті до сайта виводиться зміст папки (при цьому обходяться будь-які індексні файли).
http://site/%3f/
Таким чином можна отримати зміст будь-якої папки на сайті, тобто відбувається витік інформації.
Спочатку я вирішив, що це уразливість в Apache (зокрема в Apache 1.3.37). Хоча я виявив її лише на одному сайті й більше не знайшов жодного вразливого сайта (з цією чи іншими версіями Apache). Але після розмови з розробниками Апача вияснилося, що це особливість конфігурації одного конкретного сайта і сам веб сервер не є вразливим. Тому адмінам сайтів на Apache варто бути більш уважними при використанні Options Indexes та Path Info.