Seguridad en Tomcat - JSESSIONID en la URL


En una análisis de seguridad reciente me he encontrado una vulnerabilidad (funcionalidad) del manejo de sesiones dependiente de los Servelts de Java que no se conocía.





Según parece, añaden la sesión de un usuario a la URL como parámetro con el objetivo de controlar aquellos navegadores que no soporten el manejo de esta cabecera.

Este comportamiento provoca que esta información sea almacenada en registros de pasarelas HTTP intermedias o historiales de navegación. Una vulnerabilidad de sobra conocida y documentada.

La siguiente captura muestra un ejemplo del comportamiento descrito anteriormente:

imagen1

Para solucionar el problema en Tomcat 7, que soporta la versión 3.0 de la especificación de Servlets, basta con añadir la siguiente configuración al fichero web.xml:

<session-config>
<tracking-mode>COOKIE</tracking-mode>
<tracking-mode>COOKIE</tracking-mode>
</session-config>

En el caso de Tomcat 6, que se basa en la versión 2.5, se ha de deshabilitar de la siguiente forma:

<?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>

Fuente:
por Alejandro Ramos
http://www.securitybydefault.com/



Otras noticias de interés:

Adobe corrige 25 vulnerabilidades de Flash Player
Adobe ha lanzado un nuevo boletín de seguridad en el que corrige un número importante de vulnerabilidades en Flash Player. En total son 25 los errores subsanados, repartidos entre las versiones de Flash para Windows, Internet Explorer y Chrome entr...
Las compañías de software deberían responsabilizarse de sus errores
El conocido experto en seguridad informática Bruce Schneier propone que los fabricantes de software sean responsabilizados legalmente por los agujeros de seguridad de sus productos....
La última actualización de seguridad de Microsoft causa problemas en Internet Explorer
Las actualizaciones que aparecieron el pasado 11 de diciembre están provocando algunos problemas a los usuarios de Internet Explorer 6 y 7 a los usuarios Windows XP y Vista, tal y como han confirmado en la propia Microsoft....
La Red, más vulnerable que nunca
La reciente publicación de las dos vulnerabilidades de seguridad más similares en los dos productos de software para servidor web más utilizados en el mercado, hacen que la web sea ahora más vulnerable que nunca, según advierte Netcraft. ...
Cómo vigilamos Internet?
La polemica está abierta en torno a la privacidad y la libertad en Internet. Hoy no faltan datos para apuntalar el debate. Apenas unos días después de que los asesinatos de Mohamed Merah conmocionaran a Fracia, la policía española detenía en Va...
Skolelinux 2.0 - GNU+Linux para escuelas
Nacido en Noruega en el año 2003, el flamante Skolelinux 2.0 fue liberado hace solamente algunos días. Se trata de un CD con sistema operativo GNU+Linux optimizado para escuelas y universidades....
Vulnerabilidad en IE al usar cualquier objeto COM
Según una alerta publicada por el US-CERT, Microsoft Internet Explorer (IE), puede intentar utilizar objetos COM que no están destinados para ser empleados en el navegador. Esto puede provocar una variedad de comportamientos no deseados en ...
Intel bautiza su nuevo procesador de 64 bits como Itanium 2
Tal y como se esperaba, Intel ha bautizado como Itanium 2 al segundo de los procesadores de la familia Itanium de 64 bits. Además, la compañía ha anunciado que reanudará la construcción de una nueva planta de fabricación de chips en Irlanda. ...
Una vez más - Sistema operativo Linux para smartphones
La celebración de la feria CeBIT Asia en Shanghai ha servido de marco a la presentación del software basado en el sistema operativo Linux de la compañía China MobileSoft dirigido a smartphones. ...
Nokia afirma que el formato Ogg es propietario
La postura del fabricante de móviles es absurda, sobre todo teniendo en cuenta que Ogg/Theora+Vorbis ha sido siempre un formato completamente abierto. Sin embargo, parecen querer aprovecharse del desconocimiento de los usuarios finales....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jsessionid
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • url
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra