Seguridad en Tomcat - JSESSIONID en la URL


En una análisis de seguridad reciente me he encontrado una vulnerabilidad (funcionalidad) del manejo de sesiones dependiente de los Servelts de Java que no se conocía.





Según parece, añaden la sesión de un usuario a la URL como parámetro con el objetivo de controlar aquellos navegadores que no soporten el manejo de esta cabecera.

Este comportamiento provoca que esta información sea almacenada en registros de pasarelas HTTP intermedias o historiales de navegación. Una vulnerabilidad de sobra conocida y documentada.

La siguiente captura muestra un ejemplo del comportamiento descrito anteriormente:

imagen1

Para solucionar el problema en Tomcat 7, que soporta la versión 3.0 de la especificación de Servlets, basta con añadir la siguiente configuración al fichero web.xml:

<session-config>
<tracking-mode>COOKIE</tracking-mode>
<tracking-mode>COOKIE</tracking-mode>
</session-config>

En el caso de Tomcat 6, que se basa en la versión 2.5, se ha de deshabilitar de la siguiente forma:

<?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>

Fuente:
por Alejandro Ramos
http://www.securitybydefault.com/



Otras noticias de interés:

Llega el relevo de Wimax
xMax se anuncia como un nuevo sistema de comunicación por banda ancha hasta mil veces más rápido que Wimax. ...
NewSID, una herramienta de seguridad que no servía y fue usada durante 12 años
El amigo Sergio de los Santos escribió en el sitio hispasec.com un interesante artículo sobre la famosa herramienta NewSID diseñada por Russinovich y que estaba para su descarga en Sysinternals. Eventos como estos nos hacen cuestionar sobre otras ...
Microsoft crea Sentido?
Microsoft intenta crear un sentido de comunidad para combatir a Linux. El movimiento del open-source, o software libre, agrupado en torno a Linux, ha alcanzado ya la categoría de enemigo oficial de Microsoft....
Las contraseñas de sólo números son rotas en segundos.
Esta pequeña pero excelente tabla nos puede dar una muy buena idea de por qué tener contraseñas que sólo tiene números, o simplemente utiliza letras en minúscula es una terrible opción, sobre todo si se trata de algo tan importante como nuestr...
Como instalar Roms Android (I)
Tengo dos preciados amigos, uno con un Huaweii UM840 y el otro con un Motorola Milestone los cuales en busca de evaluar el sistema operativo Android en su versión Gingerbread, usaron versiones cocinadas para sus dispositivos, esto a razón de que al...
Seguridad en protocolos de mensajería
Pese al paso de los años y los nuevos conceptos que se van inventando, el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online. ...
Adobe corrige una vulnerabilidad de seguridad en Acrobat y Reader 9
Adobe ha corregido una vulnerabilidad crítica de seguridad en sus aplicaciones Acrobat 9 y Reader 9. Dicha vulnerabilidad podría provocar el cuelgue de las aplicaciones y permitir, potencialmente, que un atacante tomase control del sistema afectado...
Vulnerabilidad en librerías XML amenaza a millones de aplicaciones
La vulnerabilidad afecta a millones de aplicaciones creadas con las librerías que manipulan XML de Sun, Apache, Python y Gnome....
Vulnerabilidad - Denegación de servicio en Opera Web Browser
Opera Web Browser es propenso a múltiples vulnerabilidades que pueden resultar en un fallo del programa....
Códigos QR y el malware
Los Quick Response (QR) son códigos de barra de dos dimensiones diseñados para ser leídos e interpretados rápidamente. Actualmente, y sumado a la gran proliferación de smartphones en el mercado, son muy utilizados para publicidades y campañas d...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jsessionid
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tomcat
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • url
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra