Che tipo di errata configurazione può portare a registri di server Web accessibili pubblicamente?

Naviga le tue risposte
6

Durante la ricerca su Google di alcune rare stringhe di user agent e percorsi URL, mi sono imbattuto in alcuni siti web che hanno i loro registri del server web accessibili pubblicamente.

Indagando ulteriormente, ho scoperto che questo non è un problema insolito, come su Google per " inurl: log intext: Mozilla / 5.0 " dimostrerà.

La mia domanda è: quale tipo di errata configurazione può consentire ai registri di essere accessibili pubblicamente? Questi log sono di solito memorizzati in una directory diversa e non riesco a trovare una ragione per cui i registri siano resi accessibili in questo modo.

    
posta user2064000 23.12.2015 - 10:32
fonte

2 risposte

6

Ci sono alcune possibilità:

  • Qualcuno ha cambiato la directory di archiviazione del log attraverso un file di configurazione .htaccess o simile, e la nuova posizione non è intenzionale all'interno della web root (ad es. hanno messo var/log/apache invece di /var/log/apache come destinazione)
  • Il sistema è stato impostato in questo modo con l'intenzione di un blocco IP che impedisce l'accesso alla cartella e il blocco IP è stato dimenticato o disabilitato
  • È stato creato un alias, in modo simile all'alias predefinito / manuale in Apache HTTPd (vedi Google per molti esempi)
  • Esiste un programma di analisi dei log automatizzato in esecuzione che espone i dati del registro in qualche modo e nessuna protezione è stata implementata per questo

Essenzialmente, le persone sono infinitamente creative quando si tratta di fare errori, e l'accesso ai file di registro non fa eccezione!

    
risposta data 23.12.2015 - 10:44
fonte
0

@Matthew ha già elencato ottimi punti. Potrei pensare ad un altro, che penso sia abbastanza comune:

Alcune applicazioni ma i log all'interno della loro directory principale o una sottodirectory di esso (probabilmente perché è più semplice, sanno che quella posizione esiste e che probabilmente hanno i diritti di lettura e scrittura lì) che spesso dovrebbero essere pubblici.

Quindi limitano l'accesso ai log e vari altri file tramite htaccess.

Il problema qui è che il server può ignorare quei file htaccess, perché non è un server web Apache, o perché è configurato per non analizzare i file htaccess.

    
risposta data 23.12.2015 - 17:41
fonte

Leggi altre domande sui tag

Apple vs DOJ: quanto è strong la barriera di forza bruta da 10 tentativi? In che modo i pentesters si avvicinano all'attacco 2FA (autenticazione a due fattori)?