¿Se trata de un problema de seguridad en el host remoto o en el host local?

Navega tus respuestas
1

El problema es el siguiente:

  1. En la máquina host local (llamémosla 'A'), hay un servidor apache que hospeda alguna aplicación web.
  2. Un usuario usa la máquina host local para acceder a un sitio de aplicación web alojado en una máquina host remota (llamémoslo 'B').
  3. El usuario nota que el archivo de registro de apache sigue mostrando el siguiente mensaje cuando accede al sitio de la aplicación web alojado en 'B': 
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"

Cada vez que el usuario utiliza el navegador web para acceder a la aplicación web 'B' desde la máquina host 'A' local, los archivos de registro de apache 'A' de la máquina host local seguirán vertiendo los mensajes anteriores.

Entonces, ¿es este un problema de seguridad del servidor 'A' o es este un problema de seguridad del servidor 'B'?

    
pregunta Jack 29.10.2013 - 11:31
fuente

1 respuesta

5

127.0.0.1 es "localhost" y solo puede contactarse desde la propia máquina. Por lo tanto, las conexiones que ve en los registros deben provenir de algo en la máquina 'A' en sí misma.

PROPFIND es parte de WebDAV , que se puede ver como una extensión en HTTP para convertirlo en un archivo servidor. "Microsoft-WebDAV-MiniRedir" es un componente de Windows que permite que las carpetas exportadas con WebDAV sean accesibles como recursos compartidos UNC; en otras palabras, si hay un servidor web en localhost, que sirve archivos a través de WebDAV, y alguna aplicación desea acceder a estos archivos con una ruta como " \localhost\test2\desktop.ini ", entonces el servidor web recibirá conexiones como las que ve en sus registros.

Entonces, creo que hay algo relacionado con el navegador que intenta leer un archivo llamado " \localhost\test2\desktop.ini "; el mini-redirector WebDAV intenta convertirlo en una solicitud HTTP PROPFIND al servidor web en localhost. El servidor web no realiza WebDAV en absoluto, lo que genera una respuesta de error (405) y una entrada de registro.

La buena pregunta, ahora, es: ¿qué es lo que se intenta leer " \localhost\test2\desktop.ini "? Un posible escenario es el siguiente: la página web servida por la máquina 'B' contiene un enlace, por ejemplo. algo como esto: 

<img src="\localhost\test2\desktop.ini" />

y dicho enlace podría ser el resultado de un error de configuración en 'B', o tal vez, posiblemente, algún tipo de intento de ataque automático (el sitio en 'B' que intenta obtener acceso a los archivos en 'A') . Considero que este último es relativamente inverosímil (sería un intento relativamente torpe) y, en cualquier caso, no funcionó (su servidor Apache no habla WebDAV). Para asegurarse, busque un enlace de este tipo en la fuente de la página web según lo indica "B".

Otros escenarios para investigar incluyen una configuración de proxy en el navegador, o alguna "herramienta de seguridad" que intenta escanear archivos en busca de virus, y puede hacerlo en archivos remotos a través de WebDAV. En la jungla de productos de Microsoft, han aparecido cosas más extrañas. Algunas aplicaciones de Google muestran que otras personas han encontrado dichas entradas de registro, por ejemplo, there y there .

    
respondido por el Tom Leek 29.10.2013 - 12:02
fuente

Lea otras preguntas en las etiquetas

¿Los subdominios son una cura para el phishing? ¿Cómo lo hizo Snowden? [cerrado]