Si tratta di un problema di sicurezza nell'host remoto o nell'host locale?

1

Il problema è il seguente:

  1. Nel computer host locale (chiamiamolo 'A'), c'è un server Apache che ospita alcune applicazioni Web.
  2. Un utente utilizza il computer host locale per accedere a un sito di applicazioni Web ospitato su un computer host remoto (chiamiamolo "B").
  3. L'utente nota che il file di log di apache continua ad avere il seguente messaggio come segue quando accede al sito dell'applicazione web ospitato su "B":
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
    127.0.0.1 - - [28/May/2013:08:49:20 +0100] "PROPFIND /test2/desktop.ini HTTP/1.1" 405 1810 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"

Ogni volta che l'utente utilizza il browser Web per accedere all'applicazione Web "B" dal computer host locale "A", i file di registro apache della macchina host locale "A" continueranno a riversare i messaggi precedenti.

Quindi, questo è un problema di sicurezza del server "A" o è questo il problema di sicurezza del server "B"?

    
posta Jack 29.10.2013 - 11:31
fonte

1 risposta

5

127.0.0.1 è "localhost" e può essere contattato solo dalla macchina stessa. Quindi le connessioni che vedi nei log devono provenire da qualcosa sulla macchina 'A' stessa.

PROPFIND fa parte di WebDAV , che può essere visualizzato come un'estensione su HTTP per trasformarlo in un file server. "Microsoft-WebDAV-MiniRedir" è un componente di Windows che consente alle cartelle esportate con WebDAV di essere accessibili come condivisioni UNC; in altre parole, se c'è un server Web su localhost, che serve i file tramite WebDAV, e alcune applicazioni vogliono accedere a questi file con un percorso come " \localhost\test2\desktop.ini ", allora il server Web riceverà connessioni come quelle che vedete in i tuoi registri.

Quindi la mia ipotesi è che ci sia qualcosa in relazione al browser che tenta di leggere un file chiamato " \localhost\test2\desktop.ini "; il mini-redirector WebDAV tenta quindi di convertirlo in una richiesta PROPFIND HTTP sul server Web su localhost. Questo server Web non esegue affatto WebDAV, risultando in una risposta di errore (405) e una voce di registro.

La buona domanda, ora, è: cosa sta provando a leggere " \localhost\test2\desktop.ini "? Uno scenario possibile è il seguente: la pagina Web servita dalla macchina "B" contiene un collegamento, ad es. qualcosa di simile:

<img src="\localhost\test2\desktop.ini" />

e tale collegamento potrebbe essere il risultato di un errore di configurazione su "B", o forse, forse, una sorta di tentativo di attacco automatico (il sito su "B" tenta di ottenere un accesso ai file su "A") . Trovo che quest'ultimo sia relativamente poco plausibile (sarebbe un tentativo relativamente maldestro) e, in ogni caso, non ha funzionato (il tuo server Apache non parla di WebDAV). Per assicurarti, cerca un collegamento di questo tipo nell'origine della pagina Web come servito da "B".

Altri scenari da indagare includono una configurazione proxy sul browser, o qualche "strumento di sicurezza" che tenta di scansionare i file in cerca di virus, e può farlo su file remoti tramite WebDAV. Nella giungla dei prodotti Microsoft sono apparse cose strane. Alcuni dati su Google mostrano che altre persone hanno trovato tali voci di registro, ad es. ci e ci .

    
risposta data 29.10.2013 - 12:02
fonte

Leggi altre domande sui tag