Опасно ли для сайта иметь страницу характеристик Apache?

Тема в разделе "Web-design и ваши работы", создана пользователем EmptyR, 7 янв 2011.

  1. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    Надыбал на очередном сайте вот такие страницы: http://makewap.ru/server-info и http://makewap.ru/server-status, в принципе, с такими страницами сталкивался не раз. Как думаете, чревато ли нахождение такой страницы последствиями? Можно ли вытянуть какую то информацию для атаки?

    P.S.: Моё личное мнение, что да, ибо я сам видел инструкции по атакам, в которых первыми пунктами было прощупывание модулей апач сайта, а уже потом атака. Но, всё же, я хочу узнать мнение других.

    Добавлено: Кстати, сайт весьма дырявый... Я уже штук 7 дырок нашёл... :facepalm:
     
  2. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Для сайта - не критично. ( Если сайт на хостинге )
    Если же на своем сервере, версию апача, php или другого по сервера следует узнавать тоьлко для подбора нужного сплоита, при атаке на сервер.

    Такие "дырки" как ты находишь - не помогут тебе :-/ делетант.
    Со всем к тебе уважением, но запустить скачаную паблик-программку-сканер - это не поиск уязвимостей.



    --------
    И вообще это не в тот раздел
     
  3. alexru

    alexru Гость

    apache и php - программы с открытым исходным кодом, поэтому само по себе обладание этой информацией некритично. Точно так же, как некритично при отъезде в отпуск на месяц повесить на балконе баннер "уехал на месяц дома 4 плазмы деньги в комоде". А ты попробуй, возьми :(

    Если вкратце, то об этой информации справедливы следующие утверждения:
    • как было верно подмечено, может помочь взломщику, помогая сэкономить его время и нервы при выборе нужного эксплойта
    • может стать критически ценной при обнаружении 0-day уязвимости в используемом софте
    • может быть фейком (honeypot-ом)

    Можно. GET request-ы порой содержат конфиденциальную информацию, раскрытие которой может помочь взломщику. Например, sid в случае, если он принадлежит авторизованному пользователю:
     
  4. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
    sid - хэши паролей, обычно, правильно я понимаю?
     
  5. vital

    vital Больной Компом Детектед

    Регистрация:
    29 янв 2006
    Сообщения:
    2.469
    Симпатии:
    27
    нет. Это идентификатор сессии.
     
  6. EmptyR

    EmptyR Веб мастер

    Регистрация:
    6 окт 2010
    Сообщения:
    221
    Симпатии:
    0
Загрузка...

Поделиться этой страницей