Ir al contenido principal

Asegurando Tomcat - Banner Grabbing para psi-probe

Dentro de los puntos que recomienda OWASP en Asegurando Tomcat, hace relación a la necesidad de no mostrar la versión de Tomcat que se utiliza, para poner un poco más difícil la preparación de un vector de ataque para el ciberdelincuente; este artículo mostrará como configurar las propiedades del Tomcat para que no muestre la versión, pero tiene un componente especial y es el uso de psi-probe, el cual es un fork que usan los sysadmin para la administración y el monitoreo de un servidor tomcat  y que genera problemas en el momento de querer hardenizar un servidor tomcat.

Para realizar esto fue necesario configurar un servidor Tomcat  y cuya configuración esta por fuera del alcance de este artículo.



Luego fue necesario configurar tomcat para que funcionara con psi-probe (hay diferentes versiones) y que puede seguir las instrucciones en este enlace.
Después  de tener configurado el Tomcat y  probe funcionando podemos ver una pantalla como esta:



Podemos analizar que si se realiza una petición http hacia una carpeta desconocida el Tomcat entrega un error 404 mostrando la versión que tiene.



A partir de este momento nos centraremos en el banner grabbing con el fin de que cuando haya un 404 No muestre la versión del servidor Tomcat o muestre algo diferente, para esto se debe realizar lo siguiente:

  • Modificar el archivo ServerInfo.properties
Este archivo se encuentra en el catalina.jar, ubicado en CATALINA_HOME/server/lib el cual es necesario desempaquetar (se puede hacer con 7zip, Winrar) o con la instrucción  

cd CATALINA_HOME/server/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

posterior a esto se edita el archivo ServerInfo.properties y se modifica la línea server.info como se muestra a continuación, se puede poner Apache o cualquier cosa por ejemplo: Nginx, Jboss o Whatever


#server.info=Apache Tomcat/7.0.50
server.info=Apache
#server.number=7.0.50.0
server.number=0.0.0.0
server.built=Dec 19 2015 10:18:12


Luego se empaqueta otra vez el archivo (o se salva la edición si se realizó en Winrar o en 7zip), lo hice con

 jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties   

  • OWASP recomienda también modificar el archivo server.xml, ubicado generalmente en CATALINA_HOME/conf/server.xml en el tag Connector port
<Connector port="8080" ...
            server="Apache" />  <!-- server header is now Apache -->
  • Reiniciar los servicios de Tomcat, puede ser con 
        CATALINA_HOME/bin/catalina.sh stop
          CATALINA_HOME/bin/catalina.sh start

A este punto ya no debería aparecer la versión de Tomcat sino lo que hayamos puesto en la configuración anterior.





La imagen anterior, la uso para mostrar que efectivamente cambió el banner de apache- tomcat y solo quedo Apache, es necesario precisar, que cuando se está asegurando el servicio de Tomcat, este welcome no debería aparecer, porque es una de los puntos a hardenizar y que hace parte de las recomendaciones de OWASP.

Después de haber realizado los cambios necesarios para evitar mostrar la versión de Tomcat, quise probar o ingresar al psi-probe para realizar el monitoreo de los aplicativos y me encuentro con el siguiente error:



Al cabo de googlear un buen rato y realizar diferentes cambios en algunos archivos encontré la siguiente solución:

Se debe modificar el archivo spring-probe-resources.xml, que está dentro del WEB-INF del probe.war cambiando el containerWrapper, la linea de "forceFirstAdaptor" de "false" a "true" y asegurarse que el nombre como lo puso en el archivo ServerInfo.properties esté de primero en la lista de clases de adaptadores, de la siguiente forma:

<property name="forceFirstAdapter" value="true"/>
<property name="adapterClasses">
<list>
<value>com.googlecode.psiprobe.ApacheContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat60ContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat70ContainerAdapter</value> value>com.googlecode.psiprobe.Tomcat90ContainerAdapter</value>
<value>com.googlecode.psiprobe.Tomcat80ContainerAdapter</value>
                         </list>

Entonces el psi-probe opera sin ningún problema después de realizar la configuración adecuada



Si usted decidió poner en el archivo ServerInfo.properties Nginx, entonces en la primera línea deberá colocar
                        <value>com.googlecode.psiprobe.NginxContainerAdapter</value>


Para estar tranquilos recomiendo reiniciar el servicio de Tomcat en el momento de hacer los cambios.

Espero les sirva a los sysadmin que trabajan con probe, aunque también pueden usar JON.


Etiquetas:

Comentarios

Publicar un comentario

Debes estar registrado en el blog para poder enviar tus comentarios.

Entradas populares de este blog

Vulnerabilidad en Bluetooth -- BIAS

Publicar un comentario
Leer más

Problemas de ASP error 0115

Cuando saca este error  Páginas Active Server error 'ASP 0115' Error inesperado /iscampus/admon/upload/upload_dest.asp Error capturable (C0000005) en un objeto externo. La secuencia de comandos no puede continuar Fue solucionado de la siguiente manera: W2K3 tiene  tiene limitada a 200 K el tamaño de los ficheros que pueden subirse con ASP, y se debe modificar el archivo C:\WINDOWS\system32\inetsrv\metabase.xml elvalor asignado a la entrada spMaxRequestEntityAllowed por el necesario.  Puede ser 10 MB. Para poder modificar el archivo es necesario parar el servicio IIS y configurar en la administracion de IIS en equipo Local click derecho, propiedades  activamos el checkbox que dice "Habilitar la modificación directa de archivos Metabase". Tambien puede ser necesario hacer lo siguiente: What does this error mean: 'error "ASP 0115" Unexpected error - A trappable error occurred in an external object.' It typically means that you are not running the ...
Publicar un comentario
Leer más