Un problema de licencia: Error 500 en Coldfusion
Después de hacer las pruebas con los mensajes de error 404 de JSP para incorporarlos a FOCA 3, se me ocurrió que un buen entorno para buscar servidores JSP serían los sitios con Coldfusion. Este servidor, primero de la empresa Allaire, luego de Macromedia y por último de Adobe, hace tiempo que está desarrollado en Java, y tiene soporte para aplicaciones JSP.
Figura 1: Sitios corriendo CFM en Google
Con esta premisa, realicé una prueba similar a la que forzar errores 404 en servidores con soporte a JSP, es decir, busqué sitios que tuvieron aplicativos desarrollados en CFM y solicité el mismo fichero pero cambiándole la extensión a JSP y el resultado me llevó a aprender una cosa curiosa que desconocía.
Figura 2: Error de licencia en un Coldfusion Standar corriendo sobre Apache
Figura 3: Error de licencia pero con poca información
Figura 4: Error de licencia de un Coldfusion Standar corriendo sobre IIS
Por lo visto, Coldfusion tiene varias licencias de venta, y no todas permiten hacer uso del motor JSP. En concreto, si el sitio sólo ha comprado una licencia Standard para desarrollo CFM puro, al invocar un programa con extensión JSP se generará una excepción 500 con un error de licencia muy curioso. Si no hay problema con la licencia, pues se obtendrá un error 404 de JSP como ya vimos.
Los mensajes de error que se obtienen son distintos, dependiendo de la versión exacta que corre de Coldfusion y el servidor web sobre el que se ejecuta. ¿Podría usar Adobe esta información para detectar software pirata de Coldfusion? Este error lo genera Coldfusion del que ya vimos que era bastante "verbose" en los fallos de SQL Injection, y en contadas excepciones he podido constatar que esté controlado, por lo que se puede sacar información del servidor allí implantado. Una curiosidad que integraremos en FOCA para extraer más info del sitio.
Saludos Malignos!
Figura 1: Sitios corriendo CFM en Google
Con esta premisa, realicé una prueba similar a la que forzar errores 404 en servidores con soporte a JSP, es decir, busqué sitios que tuvieron aplicativos desarrollados en CFM y solicité el mismo fichero pero cambiándole la extensión a JSP y el resultado me llevó a aprender una cosa curiosa que desconocía.
Figura 2: Error de licencia en un Coldfusion Standar corriendo sobre Apache
Figura 3: Error de licencia pero con poca información
Figura 4: Error de licencia de un Coldfusion Standar corriendo sobre IIS
Por lo visto, Coldfusion tiene varias licencias de venta, y no todas permiten hacer uso del motor JSP. En concreto, si el sitio sólo ha comprado una licencia Standard para desarrollo CFM puro, al invocar un programa con extensión JSP se generará una excepción 500 con un error de licencia muy curioso. Si no hay problema con la licencia, pues se obtendrá un error 404 de JSP como ya vimos.
Los mensajes de error que se obtienen son distintos, dependiendo de la versión exacta que corre de Coldfusion y el servidor web sobre el que se ejecuta. ¿Podría usar Adobe esta información para detectar software pirata de Coldfusion? Este error lo genera Coldfusion del que ya vimos que era bastante "verbose" en los fallos de SQL Injection, y en contadas excepciones he podido constatar que esté controlado, por lo que se puede sacar información del servidor allí implantado. Una curiosidad que integraremos en FOCA para extraer más info del sitio.
Saludos Malignos!
Sigue El lado del Mal en Google+
3 comentarios:
¿Quién usa es basura de Coldfusion? Losers, seguro
Hey eso se me recuerda algo
ColdFusion es muy BARATO.
Si, barato porque permite hacer desarrollos web en menos tiempo ya que es fácil pero a la vez muy poderoso.
Publicar un comentario en la entrada