Después de hacer las pruebas con los mensajes de error 404 de JSP para incorporarlos a FOCA 3, se me ocurrió que un buen entorno para buscar servidores JSP serían los sitios con Coldfusion. Este servidor, primero de la empresa Allaire, luego de Macromedia y por último de Adobe, hace tiempo que está desarrollado en Java, y tiene soporte para aplicaciones JSP.
Figura 1: Sitios corriendo CFM en Google
Con esta premisa, realicé una prueba similar a la que forzar errores 404 en servidores con soporte a JSP, es decir, busqué sitios que tuvieron aplicativos desarrollados en CFM y solicité el mismo fichero pero cambiándole la extensión a JSP y el resultado me llevó a aprender una cosa curiosa que desconocía.
Figura 2: Error de licencia en un Coldfusion Standar corriendo sobre Apache
Figura 3: Error de licencia pero con poca información
Figura 4: Error de licencia de un Coldfusion Standar corriendo sobre IIS
Por lo visto, Coldfusion tiene varias licencias de venta, y no todas permiten hacer uso del motor JSP. En concreto, si el sitio sólo ha comprado una licencia Standard para desarrollo CFM puro, al invocar un programa con extensión JSP se generará una excepción 500 con un error de licencia muy curioso. Si no hay problema con la licencia, pues se obtendrá un error 404 de JSP como ya vimos.
Los mensajes de error que se obtienen son distintos, dependiendo de la versión exacta que corre de Coldfusion y el servidor web sobre el que se ejecuta. ¿Podría usar Adobe esta información para detectar software pirata de Coldfusion? Este error lo genera Coldfusion del que ya vimos que era bastante "verbose" en los fallos de SQL Injection, y en contadas excepciones he podido constatar que esté controlado, por lo que se puede sacar información del servidor allí implantado. Una curiosidad que integraremos en FOCA para extraer más info del sitio.
Saludos Malignos!
Figura 1: Sitios corriendo CFM en Google
Con esta premisa, realicé una prueba similar a la que forzar errores 404 en servidores con soporte a JSP, es decir, busqué sitios que tuvieron aplicativos desarrollados en CFM y solicité el mismo fichero pero cambiándole la extensión a JSP y el resultado me llevó a aprender una cosa curiosa que desconocía.
Figura 2: Error de licencia en un Coldfusion Standar corriendo sobre Apache
Figura 3: Error de licencia pero con poca información
Figura 4: Error de licencia de un Coldfusion Standar corriendo sobre IIS
Por lo visto, Coldfusion tiene varias licencias de venta, y no todas permiten hacer uso del motor JSP. En concreto, si el sitio sólo ha comprado una licencia Standard para desarrollo CFM puro, al invocar un programa con extensión JSP se generará una excepción 500 con un error de licencia muy curioso. Si no hay problema con la licencia, pues se obtendrá un error 404 de JSP como ya vimos.
Los mensajes de error que se obtienen son distintos, dependiendo de la versión exacta que corre de Coldfusion y el servidor web sobre el que se ejecuta. ¿Podría usar Adobe esta información para detectar software pirata de Coldfusion? Este error lo genera Coldfusion del que ya vimos que era bastante "verbose" en los fallos de SQL Injection, y en contadas excepciones he podido constatar que esté controlado, por lo que se puede sacar información del servidor allí implantado. Una curiosidad que integraremos en FOCA para extraer más info del sitio.
Saludos Malignos!
¿Quién usa es basura de Coldfusion? Losers, seguro
ResponderEliminarHey eso se me recuerda algo
ResponderEliminarColdFusion es muy BARATO.
ResponderEliminarSi, barato porque permite hacer desarrollos web en menos tiempo ya que es fácil pero a la vez muy poderoso.
Ese error lo devuelve la versión Developer de ColdFusion. La versión Developer, que es la que se usa en desarrollo, solo permite conexiones desde la IP local y otras dos IP, y ese error se produce cuando se intenta hacer una conexión desde una tercera IP.
ResponderEliminarEn efecto, Adobe controla las licencias instaladas y si hay algún conflicto con la licencia (pe, el mismo número de licencia se usa en dos servidores públicos distintos), revierte la versión de la licencia en conflicto a una Developer, lo cual produce ese error a nada que haya un par de usuarios.
Lo de los errores excesivamente "verbosos" es un fallo de seguridad básico en una instalación de CF. Es información para debugging y en producción se controla simplemente desmarcando una casilla en el panel de administración... creo que en las últimas versiones ya viene desactivado por defecto.
La "basura" esta de CF la usamos muy poquitos, pero estamos muy contentos. A mis programadores, que vienen de PHP y en dos semanas ya están con CF avanzado, luego cuando vuelven a hacer cosas en PHP se ponen a echar pestes de lo que tienen que currar mucho más para el mismo resultado ;)