Fail

Renato

Precisei fazer uma consulta sobre um telefone no site da Telefônica, ao entrar no site, percebo o favicon com o logo da Netscape, pensei que estivesse enganado já que servidores com Netscape são difíceis de se ver, resolvi confirmar com uma conexão via telnet, e olha só o que me é apresentado.

Favicon:

Home da Telefonica

Consulta via telnet:

Consulta a telefonica via telnet

Repare nas linhas 5,6 e 7.

  • 5 fiz uma solicitação para o documento index.html usando a Versão 1.1 do HTTP.
  • 6 recebo a resposta do servidor, porém com a versão mais antiga do HTTP, a 1.0.
  • 7 tenho a informação do Servidor e Versão: Netscape Enterprise 4.1.

Pela resposta e consultado na web, vi que não é uma versão atual de servidor, uma vez que, segundo a wikipedia, a versão 6 desse webserver é datada de 2001.

Como estudante de Segurança da informação, sei que é impraticável usar uma versão tão antiga pra um servidor.

Estão tão confiantes assim em sua infra-estrutura a ponto de deixar um serviço tão acessado sendo mantido por um servidor quase gagá ou estão esperando algum engraçadinho fazer uma brincadeira nos seus servidores? Fica a dúvida no ar.


7 Responses to “Fail”

  • núbia Says:

    han?!
    kkkkk

    Beijos

  • Jeronimo Zucco Says:

    Nada impede que eles tenham mudado o banner, exibindo a versão antiga para enganar. Eu mesmo faço isso.

  • D_Ver@s Says:

    Eita…

    Num podemos afirmar . .

    Afinal quem foi q deixou São Paulo off…

    Mas vai intender a ideia do Individuo q tomas conta desas peculiaridades!

  • Doufer Says:

    Hahaha

    São Paulo Fail por causa do Netscape! Rsrsrsr

    Já foi tempo de Netscape…

  • Leonardo Rodrigues Says:

    Opa Renato !!

    1) a sua requisição HTTP/1.1 está errada ….. a requisição 1.1 exige a presença do Host. O mínimo correto seria:

    GET http://www.telefonica.com.br/index.html HTTP/1.1
    Host: http://www.telefonica.com.br

    2) você foi interceptado por um proxy de forma transparente. X-Cache na resposta indica isso. E no caso, sabemos que foi um squid :) E squid não faz HTTP/1.1 … apesar disso, ele sabe receber uma requisição 1.1 sem problemas, porém sempre gerará ‘pra frente’ uma 1.0 e responderá pra você como 1.0. Não existe nada errado nisso, é uma característica bem conhecida do squid. Apesar de ter recebido sua requisição 1.1, ele gerou 1.0 pro http://www.telefonica.com.br e, por isso, você recebeu a resposta 1.0.

  • Leonardo Rodrigues Says:

    a interface do blog transformou um parametro que passei em hyperlink ….

    a requisição 1.1 seria:

    GET http://www.telefonica.com.br/index.html HTTP/1.1
    Host: w w w . telefonica.com.br

    (tire os espaços da linha Host … se eu coloco, o blog transforma em link)

  • Renato Says:

    Realmente Leonardo, a requisição ficou errada, confirmei na documentação do w3 sobre o http 1.1 e realmente é necessário o uso do host: xxx.
    Valeu a dica.
    Sobre o squid, ainda não comecei a estudá-lo, mas em todo o caso foi uma dica interessante. =D

Leave a Reply