Витоки інформації через статистику відвідувань

22:46 14.01.2011

Витоки інформації на сайтах трапляються часто, такі як витоки повного шляху (Full path disclosure), витоки паролів та інші випадки витоків важливої інформації. В даній статті (запланованої в 2009) я розповім про витоки інформації через статистику відвідувань.

Системи статистики відвідувань можуть бути з обмеженим доступом (по логіну і паролю), а можуть бути і відкриті. От останні й представляють загрозу і про них буде йти мова. Тому що до відкритих систем статистики можуть дістатися усі бажаючі, в тому числі й нападники, які використають статистичну інформацію для своїх цілей.

Серед популярних статистичних систем є така система як Webalizer. Яку часто розміщують на сайті в публічному доступі (не обмеживши до неї доступ лише адміністаторам сайта). Що призводить до витоків інформації про сайт - сам багато разів знаходив Webalizer на різних сайтах :-) . Зокрема раніше я писав про уразливості в XAMPP, серед яких є й стандартний і легковгадуємий шлях до Webalizer (доступ до якого не обмежений).

Використовуючи наступний дорк можна знайти сайти з незахищеним Webalizer, що були проіндексовані Гуглом:

intitle:”Usage Statistics for” - до 557000 сайтів. Серед них до 17100 державних сайтів, в тому числі до 2040 американських gov-сайтів.

Необмежений доступ до систем статистики відвідувань та витік інформації про неї може призвести до:

  • Витоку реальних статистичних даних (які можуть не співпадати з офіційно декларуємими).
  • Витоку даних про джерела трафіку.
  • Витоку даних про структуру сайта, в тому числі про приховані ресурси (які також можуть бути не захищені паролем).
  • В самих системах статистики відвідувань можуть бути уразливості.
  • В самих прихованих ресурсах, інформація про які витікає через систему статистики відвідувань, можуть бути уразливості.

Тому варто обмежувати доступ до статистики відвібувань, щоб не допускати витоків інформації.


Leave a Reply

You must be logged in to post a comment.