Các nhà nghiên cứu đã tìm thấy Apache Server-Status Enabled trên một số trang phổ biến như php.net , cisco, nba.com, Cloudflare, Metacafe, Ford, yellow.com và các trang khác.
Đối với backgorund thì có Module mod_status TRONG Máy chủ Apache cho phép quản trị viên máy chủ tìm hiểu máy chủ của họ hoạt động tốt như thế nào. Một trang HTML được trình bày cung cấp số liệu thống kê máy chủ hiện tại ở dạng dễ đọc.
Về cơ bản, mod_status cung cấp thông tin về hoạt động và hiệu suất máy chủ apache của bạn. Rủi ro bảo mật chính khi sử dụng mô-đun này chỉ là Tiết lộ thông tin bao gồm thông tin như thời gian hoạt động của Máy chủ, thống kê phản hồi yêu cầu riêng lẻ và mức sử dụng CPU của các quy trình làm việc, Yêu cầu HTTP hiện tại, địa chỉ IP của máy khách, đường dẫn được yêu cầu, máy chủ ảo được xử lý. , điều đó có thể cung cấp cho kẻ tấn công tiềm năng thông tin về cách tấn công máy chủ web.
Rất ít thương hiệu phổ biến thể hiện trạng thái của họ trực tuyến, được phát hiện bởi Daniel Cid từ Sucuri:
- https://php.net/server-status/
- https://cloudflare.com/server-status/ (Đã sửa ngay bây giờ)
- https://metacafe.com/server-status/
- https://disney.go.com/server-status (Đã sửa ngay)
- https://www.latimes.com/server-status/
- https://www.staples.com/server-status/
- https://tweetdeck.com/server-status/ (Đã sửa ngay bây giờ)
- https://www.nba.com/server-status/
- https://www.ford.com/server-status/
Giải pháp, Không cho phép Máy chủ Apache mod_status Có thể truy cập công khai và để quản trị viên đó chỉ cần thực hiện một số thay đổi trong tệp cấu hình của apache (httpd.conf). Ngoài ra nó được khuyến khích để bình luận ra
