Domande con tag 'spring-framework'

2
risposte

L'e-mail di accesso è una cattiva pratica?

Nella mia applicazione Spring, stavo progettando di rimuovere le password dal processo di autenticazione inviando un "magic sign-in link" all'indirizzo di posta elettronica dell'utente. Tuttavia, in questa domanda Rob Winch (responsabile di Sp...
posta 15.01.2018 - 16:45
2
risposte

CSRF nell'architettura dei microservizi

Quale dovrebbe essere il modo corretto per implementare la protezione CSRF nell'architettura dei microservizi? Dove i servizi sono senza stato. Per inserire la verifica CSRF sull'immissione del sistema? per esempio. Gateway Con questa o...
posta 13.02.2017 - 15:58
2
risposte

Protezione dell'architettura dei servizi Micro internamente

Sto implementando una soluzione con set di Micro Services (Spring Rest Services) con Rabbit MQ come broker di messaggi. Il server Edge viene autenticato utilizzando il server Identity basato su OAuth. Le chiamate interne di Micro Sevices non son...
posta 22.12.2016 - 23:03
0
risposte

Metodi di chiamata con Expression Language Injection in Spring Framework?

Al momento sono su un pentest e ho trovato un parametro URL che è vulnerabile all'iniezione di Expression Language (EL) e posso provarlo accedendo a proprietà come $ {pageContext}. Tuttavia, sembra che io abbia accesso alle proprietà degli og...
posta 03.06.2016 - 13:55
2
risposte

Token CSRF non associato alla sessione nell'applicazione Spring

Stiamo sviluppando un'applicazione di primavera con Spring Security. Dopo aver eseguito alcuni test della penna, uno dei risultati del test era una vulnerabilità: Cross-Site Request Forgery Token is not bound to user context. Abbiamo ini...
posta 27.02.2018 - 20:03
1
risposta

Come determinare quale parametro di forza passare a BCryptEncoder (il valore predefinito è 10) in Spring Java?

La documentazione di primavera non lo fa t dire molto , solo che la forza predefinita è 10. Come si può determinare quando si usa la forza aumentata potrebbe essere giustificato e quale è il trade off?     
posta 13.10.2017 - 16:12
1
risposta

Iniezione SQL positiva falsa da ZAP con l'aggiunta di una nuova query con parametri

Ho un'applicazione web MVC primaverile e sto eseguendo la scansione attiva ZAP su di essa. Ho notato che ZAP modificherà l'URL e aggiungerò ulteriori parametri denominati query e value query+AND+1%3D1+--+ per testare SQL Injection....
posta 17.08.2018 - 12:49
1
risposta

Hai bisogno di consigli sulla chiave API e sulla generazione segreta?

Mentre lavoro su un progetto Java usando il token Spring-boot, Spring-security e JWT, ho bisogno di fornire l'accesso tramite chiave API e segreto. Dopo aver cercato su Google per un po 'di tempo sulla generazione di chiavi / segreti, ecco cosa...
posta 23.02.2018 - 10:55
1
risposta

Autenticazione Token che memorizza dopo l'autenticazione del database

Ho lavorato a un'applicazione di backend MVC RESTful per Spring 4. Autentiamo su un server OpenAM e un token lungo è memorizzato in un cookie sul front-end. Il front-end estrae il token dal cookie e lo restituisce come intestazione in ogni chiam...
posta 12.09.2016 - 18:46
1
risposta

Mi mancano alcune lacune con la mia attuale gestione delle sessioni?

Sto costruendo un sito con Spring, che richiede l'autenticazione per accedere ad alcune pagine. Il sito è in realtà composto da un host client, che esegue il rendering delle viste e gestisce l'associazione dati e un host RIP API (creato anche...
posta 28.03.2017 - 21:17