Cómo tirar abajo Fotolog.
sábado 6 de octubre de 2007

UPDATE: Parece que no soy el único que se encontró con esta vulnerabilidad.
---------------------------------------------------------------

Si, ya se que la tengo contra Fotolog, pero les aseguro que esto lo descubrí por accidente y valía la pena contarlo.

Estaba visitando los fotologs de mis conocidos (barra del costado) cuando en uno de ellos, en vez de cargar la página principal, apareció un error interno del servidor (500) y como la página de error no estaba personalizada apareció esta pequeña línea al final:

Apache/2.2.3 (Unix) mod_jk/1.2.19 Server at www.fotolog.com Port 80

Esta línea aparece por defecto en cualquier servidor Apache, a menos que se lo configure para que no la muestre. De esta línea podemos aprender un par de datos importantes. El servidor Web es un Apache, y tiene un módulo para java (Conocido como Tomcat) en su versión 1.2.19

Las páginas de error de los servidores web suelen personalizarse para que no muestren esta clase de información, si escriben algo erróneo después de la dirección raíz (por ej: http://www.fotolog.com/hgfuyds031) se encontraran con una pagina de error 404 personalizada. Ahora, ¿Por qué esta información es peligrosa? si vamos a una famosa pagina de exploits (http://www.milw0rm.com/port.php) y buscamos un exploit (programa que explota las vulnerabilidades de otro programa) para el puerto 80, nos encontramos con:

pantallazo-2.png

Bingo, un exploit de buffer overflow para esa versión. Con este pequeño código cualquiera puede tirar abajo el servidor web. Obviamente que yo no voy a hacer tal cosa, es incorrecto e ilegal y espero que ningun lector sea tan estúpido como para intentar hacerlo tampoco. Pero como nerdo hinchapelotas que soy tenía que señalar los defectos de los demás.

Si los amigos de fotolog se preocuparan un poco mas, sabrían que ya hay versiones mas nuevas del Tomcat (1.2.23) que no son vulnerables a esto. O al menos harían páginas personalizadas para todos los códigos de error posibles en un servidor web. Aunque esta última acción es lo que se conoce como seguridad por ocultación y varios especialistas del tema están de acuerdo en que no es una técnica muy útil, lo mejor es mantenerse actualizado.

Publicado porAriel a las 4:52  

Etiquetas:

0 comentarios:

Publicar un comentario en la entrada

Suscribirse a: Enviar comentarios (Atom)