Интересное

Проверено

VDS-хостинг - именно на этом хостинге работает наш сайт.
Sape - биржа временных ссылок, доход 80р/день.
Trustlink - биржа временных ссылок, доход 60р/день.

Партнеры

Последние сообщения с форума

Название темы Автор Статистика Последнее сообщение
продажа аккаунтов разных сервисов

Тема в разделе: Услуги и сервисы ваших web-сайтов

Sdelkin

Просмотров: 179352

Ответов: 26

Автор: Sdelkin

3-02-2018, 18:55

хостинг от M-HOSTER

Тема в разделе: Хостинг

wmmax

Просмотров: 57627

Ответов: 0

Автор: wmmax

1-02-2018, 15:42

Комплексное продвижение (прогон) сайтов ру и en

Тема в разделе: Поисковая оптимизация

Kysovue

Просмотров: 142079

Ответов: 73

Автор: Kysovue

25-01-2018, 21:16

Special offer! SSD NVMe хостинг, Выделенный сервер и VPS SSD

Тема в разделе: Хостинг

iphoster

Просмотров: 61107

Ответов: 0

Автор: iphoster

10-11-2017, 22:56

продвижение сайтов, прогоны

Тема в разделе: Поисковая оптимизация

brig2

Просмотров: 77564

Ответов: 7

Автор: brig2

5-11-2017, 14:00

Дырка в «Apache» позволяет хакерам получать доступ к внутренним серверам

Дырка в «Apache» позволяет хакерам получать доступ к внутренним серверам

Эксперты по безопасности обнаружили новую дырку в веб-сервере «Apache», которая позволяет злоумышленнику удалённо получать доступ к внутренним серверам, сообщает «ВордАйти».

Модуль «mod_rewrite» гарантирует, что запросы распределяются по разным серверам согласно определённым правилам, например, для того, чтобы сбалансировать нагрузку или отделить динамический и статический контент. Такая конфигурация также называется обратным прокси-сервером. При определённых обстоятельствах, в запрос можно ввести знак «@», который меняет правила перезаписи «URL-адресов» , что позволяет хакерам выбирать тип произвольных хостов.

Например, «HTTP» запрос:

GET @InternalNotAccessibleServer/console HTTP/1.0

при помощи «mod_rewrite» мы создаём следующий «URL»:

http://internalserver:80@InternalNotAccessibleServer/console

Из-за знака «@», сегмент, который содержит фактический узел, интерпретируется, как сегмент аутентификации «HTTP» и запрос перенаправляется на любой сервер (NotAccessibleServer), где атакующий по локальной сети выбирает «Apache» сервера. Единственным условием является то, что нападающие должны знать имя локального хоста или адрес локального сервера, на которые они намерены получить доступ, однако, эта информация может быть получена с помощью других методов.

«Apache 1.3» и все версии до «2.2.20» страдают данной уязвимостью. В качестве обходного пути, в правила перезаписи можно добавить дополнительный слэш. В докладе от «Context» также объясняется, как можно проверить, является ли сервер уязвимым и что нужно изменить, если он всё-таки уязвим. По мимо всего прочего, компания «Apache Foundation» уже выпустила патч для версии«2.2.21», который устраняет данную проблему, сообщает Word-IT.Ru.

Другие новости по теме: