Ir al contenido principal

Asegurando Tomcat - Banner Grabbing para psi-probe

Dentro de los puntos que recomienda OWASP en Asegurando Tomcat, hace relación a la necesidad de no mostrar la versión de Tomcat que se utiliza, para poner un poco más difícil la preparación de un vector de ataque para el ciberdelincuente; este artículo mostrará como configurar las propiedades del Tomcat para que no muestre la versión, pero tiene un componente especial y es el uso de psi-probe, el cual es un fork que usan los sysadmin para la administración y el monitoreo de un servidor tomcat  y que genera problemas en el momento de querer hardenizar un servidor tomcat.

Para realizar esto fue necesario configurar un servidor Tomcat  y cuya configuración esta por fuera del alcance de este artículo.



Luego fue necesario configurar tomcat para que funcionara con psi-probe (hay diferentes versiones) y que puede seguir las instrucciones en este enlace.
Después  de tener configurado el Tomcat y  probe funcionando podemos ver una pantalla como esta:



Podemos analizar que si se realiza una petición http hacia una carpeta desconocida el Tomcat entrega un error 404 mostrando la versión que tiene.



A partir de este momento nos centraremos en el banner grabbing con el fin de que cuando haya un 404 No muestre la versión del servidor Tomcat o muestre algo diferente, para esto se debe realizar lo siguiente:

  • Modificar el archivo ServerInfo.properties
Este archivo se encuentra en el catalina.jar, ubicado en CATALINA_HOME/server/lib el cual es necesario desempaquetar (se puede hacer con 7zip, Winrar) o con la instrucción  

cd CATALINA_HOME/server/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

posterior a esto se edita el archivo ServerInfo.properties y se modifica la línea server.info como se muestra a continuación, se puede poner Apache o cualquier cosa por ejemplo: Nginx, Jboss o Whatever


#server.info=Apache Tomcat/7.0.50
server.info=Apache
#server.number=7.0.50.0
server.number=0.0.0.0
server.built=Dec 19 2015 10:18:12


Luego se empaqueta otra vez el archivo (o se salva la edición si se realizó en Winrar o en 7zip), lo hice con

 jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties   

  • OWASP recomienda también modificar el archivo server.xml, ubicado generalmente en CATALINA_HOME/conf/server.xml en el tag Connector port
<Connector port="8080" ...
            server="Apache" />  <!-- server header is now Apache -->
  • Reiniciar los servicios de Tomcat, puede ser con 
        CATALINA_HOME/bin/catalina.sh stop
          CATALINA_HOME/bin/catalina.sh start

A este punto ya no debería aparecer la versión de Tomcat sino lo que hayamos puesto en la configuración anterior.





La imagen anterior, la uso para mostrar que efectivamente cambió el banner de apache- tomcat y solo quedo Apache, es necesario precisar, que cuando se está asegurando el servicio de Tomcat, este welcome no debería aparecer, porque es una de los puntos a hardenizar y que hace parte de las recomendaciones de OWASP.

Después de haber realizado los cambios necesarios para evitar mostrar la versión de Tomcat, quise probar o ingresar al psi-probe para realizar el monitoreo de los aplicativos y me encuentro con el siguiente error:



Al cabo de googlear un buen rato y realizar diferentes cambios en algunos archivos encontré la siguiente solución:

Se debe modificar el archivo spring-probe-resources.xml, que está dentro del WEB-INF del probe.war cambiando el containerWrapper, la linea de "forceFirstAdaptor" de "false" a "true" y asegurarse que el nombre como lo puso en el archivo ServerInfo.properties esté de primero en la lista de clases de adaptadores, de la siguiente forma:

<property name="forceFirstAdapter" value="true"/>
<property name="adapterClasses">
<list>
<value>com.googlecode.psiprobe.ApacheContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat60ContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat70ContainerAdapter</value> value>com.googlecode.psiprobe.Tomcat90ContainerAdapter</value>
<value>com.googlecode.psiprobe.Tomcat80ContainerAdapter</value>
                         </list>

Entonces el psi-probe opera sin ningún problema después de realizar la configuración adecuada



Si usted decidió poner en el archivo ServerInfo.properties Nginx, entonces en la primera línea deberá colocar
                        <value>com.googlecode.psiprobe.NginxContainerAdapter</value>


Para estar tranquilos recomiendo reiniciar el servicio de Tomcat en el momento de hacer los cambios.

Espero les sirva a los sysadmin que trabajan con probe, aunque también pueden usar JON.


Etiquetas

Etiquetas:

Comentarios

Publicar un comentario

Debes estar registrado en el blog para poder enviar tus comentarios.

Entradas populares de este blog

Tecnologia Canopy Motorola

Canopy, es una Familia de Productos para Sistemas de Banda Ancha y Transmisión de Datos inalámbricos, de bajo costo y fácil instalación. Es más económico que las opciones de DSL y Cable Módem. Ofrece múltiples capacidades y aplicaciones, convirtiéndola en una solución ideal para empresas de los más variados mercados, especialmente quienes hoy no tienen acceso por costo o por estar ubicados en zonas sin infraestructura. No utiliza líneas telefónicas, cable coaxial o satélites y requiere una inversión inicial considerablemente menor que otros sistemas. Hace posible extender el acceso a Internet a través de banda ancha inalámbrica a cualquier usuario, cualquiera sea el lugar donde se encuentre. Aplicaciones Entre las aplicaciones del sistema CANOPY se encuentran:, transmisión de audio y video, video vigilancia remota, extensión de LAN (Local Area N...
Publicar un comentario
Leer más

Vulnerabilidad en Bluetooth -- BIAS

Publicar un comentario
Leer más

PHP On Tomcat

Fue tomado de http://fabien.duminy.ifrance.com/blog/archives/2007/08/entry_14.html tomcat and php Here are the steps to run php in tomcat : Download tomcat and unzip the archive where you want (=> TOMCAT_DIR ) Create the following directories : TOMCAT_DIR /webapps/testPHP If necessary, create directory TOMCAT_DIR /common/lib (it seems, at least with tomcat 6, that the directory is no more created) Edit the file TOMCAT_DIR /conf/catalina.properties and modify the line for property shared.loader : shared.loader=${catalina.home}/common/classes,${catalina.home}/common/lib/*.jar Edit the file TOMCAT_DIR /conf/web.xml and add the lines mentionned below (see ' lines to add to web.xml of your tomcat installation ') To download quercus ( a php 5 engine written in pure java), you must in fact download resin becau...
1 comentario
Leer más