The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.02.2016 12:28  Использование настроек по умолчанию в Apache способствует раскрытию данных о скрытых сервисах Tor

Один из исследователей безопасности обратил внимание на беспечность администраторов скрытых сервисов Tor, использующих для обеспечения работы своих сайтов http-сервер Apache в конфигурации по умолчанию.

Большинство дистрибутивов Linux включает модуль mod_status, который позволяет при открытии служебной страницы /server-status посмотреть статистику обработки запросов. По умолчанию просмотр страницы /server-status разрешён только с локальной машины и доступен для запросов с адреса 127.0.0.1.

Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor, apache
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 13:14, 02/02/2016 [ответить] [смотреть все]
  • +3 +/
    Ну написали бы какой-нибудь скрипт, который проверял бы наличие таких вот  нюансов.
    Тором ведь пользуются не только большие спецы. И для человека в таких вещах не шарящего, указанный момент может быть неочевиден уже потому, что этот человек мог впервые вообще слышать про mod_status.
    А запустить скрипт и почитать ворнинги -- сможет каждый.
     
     
  • 2.5, Я, 13:23, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Да, и апач тоже неспецы себе ставят.
     
     
  • 3.13, Аноним, 14:08, 02/02/2016 [^] [ответить] [смотреть все]
  • +6 +/
    Апач неспецы еще как ставят, только, как говорится, в путь.
     
     
  • 4.34, _KUL, 06:50, 03/02/2016 [^] [ответить] [смотреть все]
  • +/
    А пользователи не достигшие полового возраста nginx не ставят?
     
     
  • 5.37, mammuthus, 08:57, 04/02/2016 [^] [ответить] [смотреть все]
  • +/
    Что такое половой возраст?
     
  • 2.8, Аноним, 13:35, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Открыть "/server-status"?
     
     
  • 3.9, A.Stahl, 13:40, 02/02/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну подобных моментов, вероятно, много. И они разные.
     
     
  • 4.23, Аноним, 21:59, 02/02/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Может подгузники менять автоматически На всякий случай, а то вдруг человек штан... весь текст скрыт [показать]
     
     
  • 5.35, lor_anon, 10:05, 03/02/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Ну нельзя же быть спецом во всём Вот анон не знает, что по-русски правильно на... весь текст скрыт [показать]
     
  • 2.11, Аноним, 14:06, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда его видно быт... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 22:02, 02/02/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А куда его еще выдавать В документации честно предупреждают И наверное желание... весь текст скрыт [показать]
     
     
  • 4.28, dimqua, 00:32, 03/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    О, илитка пожаловала ... весь текст скрыт [показать]
     
  • 4.32, Аноним, 02:23, 03/02/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    >Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...

    Посмотрим, сколько ты протянешь на сельском хозяйстве, прежде чем у тебя все звери сдохнут.

     
  • 1.2, Radjah, 13:14, 02/02/2016 [ответить] [смотреть все]  
  • –3 +/
    А нафига держать контент и статистику на одном порту?
     
  • 1.3, Аноним, 13:19, 02/02/2016 [ответить] [смотреть все]  
  • +/
    Круто, столько лет этому tor у, а такой косяк только сейчас выловили Интересно,... весь текст скрыт [показать]
     
     
  • 2.25, Аноним, 22:04, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тупость админов - давно известный косяк Но в случае tor он делает использование... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 13:31, 02/02/2016 [ответить] [смотреть все]  
  • –6 +/
    От намеренно дырявого тора ожидали чего-то другого?
     
     
  • 2.10, Анонимо, 13:40, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Толсто.
     
     
  • 3.18, lululu, 15:12, 02/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    1 Большинство людей скорее-всего пользуются бинарными сборками с сайта и при нал... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 22:21, 02/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Какая компрометация Вы о чем Это позволяет полазить по статистике апача, если ... весь текст скрыт [показать]
     
     
  • 5.38, AdVv, 21:39, 04/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Чукча не читатель, чукча писатель Это позволяет увидеть в этой самой статистик... весь текст скрыт [показать]
     
  • 4.29, dimqua, 00:41, 03/02/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Достаточно всего несколько раз проверить Вот только не говорите, что никто и ни... весь текст скрыт [показать]
     
  • 2.40, AdVv, 21:42, 04/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Предложите альтернативу ... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 13:33, 02/02/2016 [ответить] [смотреть все]  
  • +/
    А на другие порты через тор и локалхост можно выйти?
     
     
  • 2.12, 1, 14:06, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот поддерживаю.
    Tor-ом можно на любой порт localhosta выйти ?
     
     
  • 3.21, sage, 17:36, 02/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, почему вы так думаете Он же проксирует определенный порт на определенный п... весь текст скрыт [показать]
     
  • 1.14, Алекс, 14:22, 02/02/2016 [ответить] [смотреть все]  
  • +/
    >>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.

    Вот тебе и анонимный браузер! Как ни крути, а IP адрес все равно узнаешь через передаваемые запросы, к которой привязана локальная машина!

     
     
  • 2.20, Нанобот, 17:24, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    >Вот тебе и анонимный браузер!

    где ты там видишь слово "браузер"?

     
  • 2.39, AdVv, 21:40, 04/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Уровень подготовленности аудитории opennet растет от года к году СпасибоШигорин... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Michael Shigorin, 14:31, 02/02/2016 [ответить] [смотреть все]  
  • +1 +/
    Высокотехнологичненько.
     
  • 1.16, Аноним, 14:32, 02/02/2016 [ответить] [смотреть все]  
  • –1 +/
    и в каком из дистрибутивов этот модуль включен по-умолчанию а то у меня rm на в... весь текст скрыт [показать]
     
     
  • 2.33, angra, 06:02, 03/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если речь именно про "модуль включен по-умолчанию", то это как минимум в rhel и debian, то есть с учетом производных получаем подавляющее большинство серверов.
     
     
  • 3.36, Аноним, 11:51, 03/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Allow serverstatus reports generated by mod_status, with the URL of http ... весь текст скрыт [показать]
     
  • 1.17, ботовод Стёпа, 14:46, 02/02/2016 [ответить] [смотреть все]  
  • –1 +/
    А что тут удивляться, тор специально был создан для таких целей.
     
     
  • 2.27, Аноним, 23:07, 02/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Все проще безопасность не получается нажатием 1 кнопки А до того как тыкать 50... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, EuPhobos, 19:01, 02/02/2016 [ответить] [смотреть все]  
  • +3 +/
    127.0.0.1/8 их, локалхостов, целых 16 млн.. юзай-нехочу, а все вяжут всё к одному, единственному.. что за .. ох ладно.
     
     
  • 2.30, Аноним, 00:43, 03/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Есть только один истинный localhost - ::1, остальные - от лукавого
     
  • 1.41, Аноним, 16:30, 05/02/2016 [ответить] [смотреть все]  
  • +/
    tun/tap? Нет, не слышали.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList