Come posso determinare la versione di Java in esecuzione su un server remoto?

Question

Come posso determinare la versione di Java in esecuzione su un server remoto?

#1 da (3 voti)
#2 da (0 voti)

1

Versione breve

Come posso determinare la versione Java di un server remoto in esecuzione se ho solo accesso al server tramite la porta 443?

Versione lunga

Sto convalidando una corsa pentest da un altro gruppo. Hanno trovato un messaggio di errore che ha fornito la versione Java eseguita dal server remoto. La versione Java era vecchia. Gli sviluppatori hanno apparentemente apportato modifiche che impediscono la visualizzazione del messaggio di errore, nascondendo così la versione di Java.

Il mio lavoro è scoprire se gli sviluppatori hanno anche aggiornato la versione java. Come posso farlo senza accesso al server se non tramite HTTPS tramite la porta 443?

java tls

posta user2616211 16.01.2014 - 16:44

fonte

2 risposte

Leggi altre domande sui tag java tls

Crittografia dipendente dall'hardware [chiusa] Come proteggere i dati in un disco raid rubato?

score 3 · Answer 1

Stai convalidando i risultati o il server? Sembra che tu stia confondendo i due.

Prevenire la divulgazione di informazioni tramite messaggi di errore è una buona cosa. Hai verificato che è stato risolto. Non sembra che il tuo compito sia quello di verificare che la versione di Java sia stata aggiornata (dal momento che sembra essere un test di black-box), per questo, lo lasci all'operatore del server per fare rapporto. Prendi nota del fatto che non è più evidente quale sia la versione e invita il pubblico del report a convalidare il server per confermare.

score 0 · Answer 2

Bene Idealmente un server sicuro farebbe un buon lavoro nascondendo queste informazioni. Non c'è un modo difficile. Due buoni modi sono esaminando le intestazioni di risposta del server e cercando le pagine di errore. Ci sono molti strumenti online creati per cose come questa.

Suggerirei di iniziare esaminando le intestazioni delle risposte del server e, se ciò non rivela nulla, cerca di creare errori fornendo input non validi e richiedendo pagine che ritieni siano infranti o che non esistano.