Seguridad en Tomcat - JSESSIONID en la URL
En una análisis de seguridad reciente me he encontrado una vulnerabilidad (funcionalidad) del manejo de sesiones dependiente de los Servelts de Java que no se conocía.Según parece, añaden la sesión de un usuario a la URL como parámetro con el objetivo de controlar aquellos navegadores que no soporten el manejo de esta cabecera.
Este comportamiento provoca que esta información sea almacenada en registros de pasarelas HTTP intermedias o historiales de navegación. Una vulnerabilidad de sobra conocida y documentada.
La siguiente captura muestra un ejemplo del comportamiento descrito anteriormente:
Para solucionar el problema en Tomcat 7, que soporta la versión 3.0 de la especificación de Servlets, basta con añadir la siguiente configuración al fichero web.xml:
<session-config>
<tracking-mode>COOKIE</tracking-mode>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
En el caso de Tomcat 6, que se basa en la versión 2.5, se ha de deshabilitar de la siguiente forma:
<?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>
Fuente:
por Alejandro Ramos
http://www.securitybydefault.com/
Publicado el: 25/04/2012
Por: sinfallas
Visto: 312434 Veces
Comentarios:
No hay comentarios registrados
Agregar Comentario
.:Categorías:.
Aniversarios (11)
Apple (31)
Bugs (1898)
Exploits (26)
Gnu/linux (786)
Hack (497)
Información (22)
Microsoft Windows (188)
Mozilla (112)
Noticias (694)
Opinion (324)
Php (46)
Seguridad (982)
Virus Y Troyanos (732)
.:Nube de Tags:.
jsessionid seguridad tomcat url
Inicio | Contacto | Políticas de Uso | Descargas
Licencia Creative Commons Atribución-NoComercial-CompartirIgual 3.0 Unported.
xombra.com 2002 - 2013