Domande con tag 'java'

domande con tag
1
risposta

In che modo ProcessBuilder evita l'iniezione del comando OS?

mentre capisco che l'iniezione del comando OS deve avere l'input non attendibile per essere convalidato, vedo che le persone suggeriscono di usare ProcessBuilder(...).start() su Runtime.getRuntime().exec(..) ; questo perché ProcessBuild...
posta 02.02.2018 - 08:50
0
risposte

Deserializzazione insicura in C # (.NET) - Come identificare e testare

Ho letto sulla deserializzazione non sicura e su come può influenzare le applicazioni Java. link Se i dati sul traffico acquisiti includono i seguenti schemi, potrebbe suggerire che i dati sono stati inviati nei flussi di serializzazione...
posta 11.07.2018 - 15:05
0
risposte

Problemi nell'installazione di zxcvbn [chiuso]

Sono uno studente delle scuole superiori che conduce un progetto di fiera scientifica che analizza la forza della password della persona media. Ho deciso di utilizzare la versione Java di zxcvbn, nbvcxz , per stimare la forza della password. Ho...
posta 29.12.2017 - 20:11
0
risposte

qual è la logica nella scelta di una catena di certificati durante un messaggio "server-hello" in un handshake SSL / TLS

In un handshake ssl client-server, il mio server invia una catena di certificati al client in un messaggio server-hello. Ma voglio capire come viene selezionata quella particolare catena di certificati. Il mio keystore ha 5 catene chain1>...
posta 05.11.2017 - 17:30
2
risposte

Il modo migliore per memorizzare un segreto in modo sicuro

Sto lavorando a un software che deve archiviare e utilizzare i segreti. Questi segreti possono essere ad esempio: una password per connettersi a un database un segreto client per una sovvenzione di OAuth 2.0 client_credentials ....
posta 21.01.2016 - 14:17
0
risposte

Protezione della password in uno schema PBE per un'applicazione

Attualmente sto formulando best practice e requisiti di sicurezza per lo sviluppo continuo del software Java nel mio dipartimento e mi sono accontentato di raccomandare l'utilizzo del framework Jasypt per la crittografia / decrittografia delle c...
posta 04.01.2018 - 14:31
0
risposte

Bouncy Castle vs SunJCE per HMAC e RSA

Sto implementando gli algoritmi di firma per JWS. Per tutti gli algoritmi HMAC e RSA, il fornitore chiamato "SunJCE" li ha. Ma sto vedendo quasi tutti i popolari pacchetti JWT in Java ha dipendenze da Bouncy Castle. Qualche particolare ragion...
posta 05.05.2017 - 18:26
0
risposte

Scelta di un algoritmo di firma più o meno sicuro con lunghezza della firma molto breve

Per un codice di registrazione software, desidero firmare un numero di telefono di circa 14 cifre con una chiave privata e quindi controllarlo in un'app. Immaginerei di usare RSA o qualcosa di simile, ma la firma dovrebbe essere digitata manu...
posta 14.05.2017 - 15:28
0
risposte

Attacco utilizzando l'API di reflection Java java.lang.reflect.get * method [closed]

Il codice java utilizza i metodi java.lang.reflect.get* vulnerabili all'escalation dei privilegi, se sì allora come? Inoltre, il codice seguente è vulnerabile all'attacco di escalation di privilegi? A a = new A(); Field[] field = b.getCl...
posta 16.03.2017 - 09:54
2
risposte

Legge la memoria di un'applicazione java

Ho bisogno di qualche consiglio di avviamento qui. Mai fatto il reverse engineering Java prima, ma avevo bisogno di leggere in qualche modo la memoria di un'applicazione java desktop in esecuzione. Il processo comunica con un server esterno su u...
posta 28.02.2017 - 01:06