Sicherheitsrisiko Webserver-Kopfzeilen
05.05.2020 | 17:00 Uhr
Eigentlich ist es Werbung für sich selbst, die Webserver in den Kopfzeilen so präsentieren. Neben der eigenen Marke, dem Produktnamen, wird zudem die Version des Webservers genannt. So können Statistiktools überprüfen, wer welchen Marktanteil im Bereich der Webserver besitzt.
Lauf Netcraft [1] kommt der Marktführer apache im April 2020 auf einen Marktanteil von 28 Prozent aller aktiven Websites, gefolgt von nginx mit 20%, Google (10%) und dem Microsoft IIS mit 5%. Der Rest zersplittert sich in viele andere Systeme (37%).
Bei Betrachtung nur der beliebtesten Seiten durch W³Techs [2] ergibt sich ein leicht anderes Bild: Apache liegt hier 39%, nginx bei 32%, das CDN Cloudflare bei 14%, der Microsoft IIS kommt auf 8%, LiteSpeed auf 7% und Google Server nur auf 1%.
Was für die Statistik gut ist, freut aber auch Hacker. Denn zahlreiche Systeme verraten nicht nur die eigene Software. Gerne wird auch die Version des Webservers mitgeteilt: Microsoft-IIS/6.0, Apache/2.2.20, nginx/1.14.0. So kann ein Angreifer schnell veraltete, unsichere Software erkennen und bekannte Sicherheitslücken ausnutzen.
Das gleiche gilt für zusatzsätzliche Software, die auf dem Server installiert ist. Dazu zählt insbesondere die bekannte Skriptsprache PHP zur Erzeugung dynamischer Webseiten. Auch hier wird gerne verraten, dass die Software veraltet und ggf. hackbar ist: PHP/5.3.2 oder PHP/5.4.1 lassen sich durchaus noch häufig auf Servern finden.
Administratoren sollten mindestens die Versionsnummern aus den Kopfzeilen ihrer Webserver entfernen. So müssen Hacker aufwändig viele mögliche Sicherheitslücken suchen anstelle gezielt angreifen zu können. Dadurch sind Angriffe leichter zu entdecken und können dann schnell unterbunden werden.