¿Cómo puedo determinar la versión de Java que se ejecuta en un servidor remoto?

Navega tus respuestas
1

Versión corta

¿Cómo puedo determinar la versión de Java que está ejecutando un servidor remoto si solo tengo acceso al servidor a través del puerto 443?

Versión larga

Estoy validando un pentest ejecutado por otro grupo. Encontraron un mensaje de error que proporcionaba la versión de Java que estaba ejecutando el servidor remoto. La versión de Java era antigua. Aparentemente, los desarrolladores han realizado cambios que impiden que aparezca el mensaje de error, ocultando así la versión de Java.

Mi trabajo es averiguar si los desarrolladores también actualizaron la versión java. ¿Cómo puedo hacer eso sin acceso al servidor que no sea a través de HTTPS a través del puerto 443?

    
pregunta user2616211 16.01.2014 - 16:44
fuente

2 respuestas

3

¿Estás validando los resultados o el servidor? Pareces estar confundiendo a los dos.

Es bueno prevenir la divulgación de información a través de mensajes de error. Usted verificó que está arreglado. No parece ser su trabajo validar que la versión de Java esté actualizada (ya que parece ser una prueba de caja negra), para eso, debe dejar eso en manos del operador del servidor. Tome nota de que ya no es obvio cuál es la versión y anime a la audiencia del informe a validar el servidor para confirmar.

    
respondido por el schroeder 21.01.2014 - 03:32
fuente
0

Bueno, idealmente, un servidor seguro haría un buen trabajo ocultando esta información. No hay un camino difícil. Dos buenas maneras son examinando los encabezados de respuesta del servidor y buscando páginas de error. Hay muchas herramientas en línea hechas para cosas como esta.

Recomendaría comenzar mirando los encabezados de respuesta del servidor, y si eso no revela nada, intente crear errores al proporcionar entradas no válidas y solicitar páginas que sabe que están dañadas o no existen.

    
respondido por el 735Tesla 16.01.2014 - 20:57
fuente

Lea otras preguntas en las etiquetas

¿Con qué tipos de exploits se beneficia la diversidad de software? ¿Es bueno cerrar la sesión automáticamente a los usuarios cuando cambian la contraseña?