HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Доступ к server-status
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 16.10.2016, 20:06
ChocolatePuma
Guest
Сообщений: n/a
Провел на форуме:
4655

Репутация: 0
По умолчанию
Что дает доступ к:

Apache Server Status for sito.com
 
Ответить с цитированием

  #2  
Старый 16.10.2016, 21:36
pas9x
Guest
Сообщений: n/a
Провел на форуме:
97867

Репутация: 52
По умолчанию
Уу, открытый сервер-статус это стрёмно.

В общем случае он ничего не даёт. Но иногда в нём можно увидеть идентификаторы сессий. Строка URI очень короткая (63 символа), потому такое может проканать на экзотических веб-приложениях с короткими идами сессии. Можно узнать айпишник админа и написать скрипт который каждую секунду будет логировать RUI и айпишники с сервер-статуса. Когда админ будет заходить в админку - это будет видно (если повезёт). И если ещё раз повезёт - отловишь ид сессии. Если нет привязки сессии к айпишнику - мои поздравления. Если есть - можно с помощью csrf что-нибудь сделать в админке сайта.

Кстати, в nginx модуль ngx_http_status_module платный, что бесит.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ