УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Доступ к server-status

Опции темы

Поиск в этой теме

Опции просмотра

16.10.2016, 20:06

ChocolatePuma

Новичок

Регистрация: 25.09.2016

Сообщений: 12

Провел на форуме:
4655

Репутация: 0

Что дает доступ к:

Apache Server Status for sito.com

16.10.2016, 21:36

pas9x

Постоянный

Регистрация: 13.10.2012

Сообщений: 423

Провел на форуме:
97867

Репутация: 52

Уу, открытый сервер-статус это стрёмно.

В общем случае он ничего не даёт. Но иногда в нём можно увидеть идентификаторы сессий. Строка URI очень короткая (63 символа), потому такое может проканать на экзотических веб-приложениях с короткими идами сессии. Можно узнать айпишник админа и написать скрипт который каждую секунду будет логировать RUI и айпишники с сервер-статуса. Когда админ будет заходить в админку - это будет видно (если повезёт). И если ещё раз повезёт - отловишь ид сессии. Если нет привязки сессии к айпишнику - мои поздравления. Если есть - можно с помощью csrf что-нибудь сделать в админке сайта.

Кстати, в nginx модуль ngx_http_status_module платный, что бесит.

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход