Nuestro buen amigo y sensei 4v4t4r decidió
compartir nuevamente un reto de Kioptrix para verificar conocimientos sobre
ataques a aplicaciones Web, esta fue una de las formas en que se resolvió el reto.
Dentro de los puntos que recomienda OWASP en Asegurando Tomcat , hace relación a la necesidad de no mostrar la versión de Tomcat que se utiliza, para poner un poco más difícil la preparación de un vector de ataque para el ciberdelincuente; este artículo mostrará como configurar las propiedades del Tomcat para que no muestre la versión, pero tiene un componente especial y es el uso de psi-probe , el cual es un fork que usan los sysadmin para la administración y el monitoreo de un servidor tomcat y que genera problemas en el momento de querer hardenizar un servidor tomcat. Para realizar esto fue necesario configurar un servidor Tomcat y cuya configuración esta por fuera del alcance de este artículo. Luego fue necesario configurar tomcat para que funcionara con psi-probe (hay diferentes versiones) y que puede seguir las instrucciones en este enlace. Después de tener configurado el Tomcat y probe funcionando podemos ver una pantalla como esta:...
Cuando saca este error Páginas Active Server error 'ASP 0115' Error inesperado /iscampus/admon/upload/upload_dest.asp Error capturable (C0000005) en un objeto externo. La secuencia de comandos no puede continuar Fue solucionado de la siguiente manera: W2K3 tiene tiene limitada a 200 K el tamaño de los ficheros que pueden subirse con ASP, y se debe modificar el archivo C:\WINDOWS\system32\inetsrv\metabase.xml elvalor asignado a la entrada spMaxRequestEntityAllowed por el necesario. Puede ser 10 MB. Para poder modificar el archivo es necesario parar el servicio IIS y configurar en la administracion de IIS en equipo Local click derecho, propiedades activamos el checkbox que dice "Habilitar la modificación directa de archivos Metabase". Tambien puede ser necesario hacer lo siguiente: What does this error mean: 'error "ASP 0115" Unexpected error - A trappable error occurred in an external object.' It typically means that you are not running the ...
Comentarios
Publicar un comentario
Debes estar registrado en el blog para poder enviar tus comentarios.