Domande con tag 'java'

domande con tag
1
risposta

Sanitizza post XSS di terze parti in API Java

Abbiamo alcuni servizi API RESTful che utilizziamo da diversi anni. Recentemente abbiamo iniziato a prendere in considerazione l'idea di presentare questi a clienti di terze parti in modo che possano scrivere le proprie interfacce utente e possi...
posta 24.08.2016 - 21:00
1
risposta

potrebbe istanziazione di oggetti dinamici + cast arbitrario in java potrebbe portare a un RCE?

Ero pentesting per un programma di bug bug, non posso dire di più perché è stato corretto ma non rivelato. Mi chiedo comunque, il reporter ha ottenuto un RCE? Un webservice ha aspettato l'XML, prima ho provato a XXE, ho combinato con la logic...
posta 07.01.2017 - 13:35
2
risposte

Memorizzazione delle password del keystore

Sto costruendo un'applicazione che utilizza i keystore come modo per archiviare in modo sicuro chiavi e certificati RSA. Ovviamente, ho bisogno di una password per recuperare la mia chiave privata. Qual è il modo corretto per memorizzare q...
posta 25.01.2017 - 17:50
1
risposta

Quali sono alcuni esempi di exploit linguistici gestiti e dove posso saperne di più?

Sono uno sviluppatore di software che principalmente progetta in C # e C. Attualmente sto studiando per passare allo sviluppo correlato a InfoSec. La maggior parte delle risorse di apprendimento sullo sfruttamento che ho trovato, sia online che...
posta 26.01.2017 - 20:35
1
risposta

Confidando HTMLUnit con i dettagli bancari

Ho pensato che fosse un buon posto per imparare un po 'di fiducia su librerie come HTMLUnit con informazioni sensibili. Voglio creare un servizio che classifica le mie spese, un po 'come il mio personale mint.com. Posso fidarmi di una libre...
posta 17.03.2016 - 18:22
1
risposta

Gestione / Distribuzione di un certificato di firma del codice - Applet Java

Mi chiedo come gestire / distribuire un certificato di firma del codice utilizzato dalla JVM in un contesto aziendale. Supponiamo che tu abbia firmato un'applet Java (eseguita nel browser da utenti aziendali), come gestisci il certificato, in qu...
posta 20.08.2015 - 08:47
1
risposta

Come revocare certificati o generare file CRL con Keytool

Non ho trovato come utilizzare java keytool per revocare certificati o generare file CRL. È possibile farlo con keytool? Se no, come si fa con openssl?     
posta 30.10.2015 - 15:43
1
risposta

Esecuzione del codice tramite RFI JSP?

Sto lavorando per migliorare la mia comprensione di RFI (Remote File Inclusion), specialmente nelle app JSP. Ho creato un'applicazione vulnerabile che importa una pagina JSP da un altro server per replicare il comportamento di una vera RFI....
posta 18.09.2015 - 08:54
1
risposta

Ottenere l'accesso remoto tramite path traversal per le applicazioni web Java

Ho trovato path traversal per un'applicazione web e posso ottenere il contenuto di tutti i file a cui l'utente del webserver ha accesso in lettura. Voglio sfruttarlo ulteriormente. Con i siti Web PHP a volte riesco a ottenere l'accesso remoto...
posta 01.03.2017 - 18:11
2
risposte

Test di vulnerabilità per CVE-2014-2483?

Sono in test di penetrazione su un server con Linux RHEL6 / 7 os. I database di vulnerabilità come link hanno menzionato la vulnerabilità CVE-2014-2483 per Java nei sistemi RHEL Linux. Ho cercato il modo in cui posso testare la mia destinazion...
posta 10.05.2015 - 06:35