Apache e o mod_status desprotegido…
O mod_status é um módulo do Apache que gera uma página dinâmica com estatísticas do servidor web que são úteis ao administrador. Dado isto, convém proteger esta página de modo a não ser possível aceder externamente.
Como diz o ditado português, “Em casa de ferreiro espeto de pau”. E a fundação Apache não escapa à sabedoria popular. Não fui eu que descobri, até porque o meu tempo para estas coisas é nulo ultimamente, mas foi sim este senhor que descobriu que o mod_status do site www.apache.org está acessível ao público:
www.apache.org/server-status?refresh=5
Com este URL acedemos à tal página de estatísticas. Dentro de toda informação que podemos encontrar nessa página (além de estatísticas de CPU, uptime, etc.) é possível encontrar todos os requests que estão a ser feitos ao site naquele instante. Ou seja, nesses requests podemos encontrar caminhos para zonas do site que não são possíveis visualizar através do google por exemplo, além de ID’s de sessão, tokens ou passwords que possam vir incluídas num GET.
Com o simples descuido de não proteger correctamente os módulos do Apache, põe-se em risco zonas privadas do site e até mesmo os seus utilizadores.
O site do Apache é apenas um exemplo (e o que menos se esperava), dos muitos que se encontram com este tipo de informações sensíveis abertas ao público…
