Раскрытие IP сайта .onion в сети TOR

Опубликовано автором

Если у вас Apache сервер, то крайне важно знать следующее:
В настроенном по умолчанию Apache включена функция под названием mod_status, позволяющая отображать статистику сайта на специальной странице /server-status. К примеру, на странице доступна информация о времени работы, потреблении ресурсов, количестве включенных виртуальных хостов, а также активных HTTP-запросах. В целях безопасности доступ к /server-status разрешен лишь через localhost. Демон Tor также работает через localhost. В результате любой желающий может получить доступ к /server-status и раскрыть важные данные. К примеру если на сервере кроме onion сайта хостятся сайты на обычных доменах, обращаясь к *.onion/server-status интересующиеся граждане увидят url адреса этих сайтов и как следствие ваш реальный ip адрес.
Для устранения данной уязвимости достаточно отключить компонент mod_status, выполнив в командной строке сервера команду $ sudo a2dismod status

Добавить комментарий

To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Find out more about Webmentions.)