Доступ к server-status

Что дает доступ к:
Apache Server Status for sito.com

 

Уу, открытый сервер-статус это стрёмно.
В общем случае он ничего не даёт. Но иногда в нём можно увидеть идентификаторы сессий. Строка URI очень короткая (63 символа), потому такое может проканать на экзотических веб-приложениях с короткими идами сессии. Можно узнать айпишник админа и написать скрипт который каждую секунду будет логировать RUI и айпишники с сервер-статуса. Когда админ будет заходить в админку - это будет видно (если повезёт). И если ещё раз повезёт - отловишь ид сессии. Если нет привязки сессии к айпишнику - мои поздравления. Если есть - можно с помощью csrf что-нибудь сделать в админке сайта.

Кстати, в nginx модуль ngx_http_status_module платный, что бесит.