Витоки інформації через статистику відвідувань
22:46 14.01.2011Витоки інформації на сайтах трапляються часто, такі як витоки повного шляху (Full path disclosure), витоки паролів та інші випадки витоків важливої інформації. В даній статті (запланованої в 2009) я розповім про витоки інформації через статистику відвідувань.
Системи статистики відвідувань можуть бути з обмеженим доступом (по логіну і паролю), а можуть бути і відкриті. От останні й представляють загрозу і про них буде йти мова. Тому що до відкритих систем статистики можуть дістатися усі бажаючі, в тому числі й нападники, які використають статистичну інформацію для своїх цілей.
Серед популярних статистичних систем є така система як Webalizer. Яку часто розміщують на сайті в публічному доступі (не обмеживши до неї доступ лише адміністаторам сайта). Що призводить до витоків інформації про сайт - сам багато разів знаходив Webalizer на різних сайтах 
. Зокрема раніше я писав про уразливості в XAMPP, серед яких є й стандартний і легковгадуємий шлях до Webalizer (доступ до якого не обмежений).
Використовуючи наступний дорк можна знайти сайти з незахищеним Webalizer, що були проіндексовані Гуглом:
intitle:”Usage Statistics for” - до 557000 сайтів. Серед них до 17100 державних сайтів, в тому числі до 2040 американських gov-сайтів.
Необмежений доступ до систем статистики відвідувань та витік інформації про неї може призвести до:
- Витоку реальних статистичних даних (які можуть не співпадати з офіційно декларуємими).
- Витоку даних про джерела трафіку.
- Витоку даних про структуру сайта, в тому числі про приховані ресурси (які також можуть бути не захищені паролем).
- В самих системах статистики відвідувань можуть бути уразливості.
- В самих прихованих ресурсах, інформація про які витікає через систему статистики відвідувань, можуть бути уразливості.
Тому варто обмежувати доступ до статистики відвібувань, щоб не допускати витоків інформації.
