Preguntas con etiqueta 'java'

2
respuestas

Firma de código Java vs. sandboxing

Estoy tratando de entender la razón detrás del desarrollo de Java Applet en los últimos años. En los viejos tiempos, la mayoría de los applets no estaban firmados, y el código para estos se ejecutaba en una caja de arena donde, a menos que los e...
hecha 01.12.2015 - 21:43
1
respuesta

¿Cómo ejecutar sesiones múltiples mientras se escanea una aplicación a través de Burp?

Al escanear una aplicación a través de Burp, descubrí que si uso varios subprocesos, se producen errores de sesión como . El ID de sesión solicitado parece no ser válido. Es posible que haya más de una ventana / pestaña del Administrador de tare...
hecha 06.01.2015 - 10:18
2
respuestas

Ocultar el archivo web.xml de la vista pública

He encontrado una vulnerabilidad en una aplicación sun java donde el archivo web.xml se puede ver públicamente ya que la aplicación no utiliza ningún .htaccess ni web.config. No sé cómo restringir. Intenté con los permisos de archivo, pero cu...
hecha 01.09.2012 - 12:22
2
respuestas

Automatización de escaneo de HP Fortify

Se me pide que integre la herramienta de auditoría de código HP Fortify en nuestro proceso de desarrollo, pero la principal limitación es que no se debe escanear todo el código cada vez: solo se deben analizar las clases afectadas por el último...
hecha 18.04.2017 - 15:54
1
respuesta

Qué clave usar en HMAC

Necesito usar HMAC en un determinado mensaje para garantizar la integridad, pero no puedo averiguar cuáles son los requisitos para que la clave se proporcione como entrada al algoritmo de hash. En particular, tengo que hacer esto en Java y, c...
hecha 15.11.2013 - 13:58
1
respuesta

¿Cuáles son las principales vulnerabilidades que afectan a la máquina virtual Dalvik de Android?

Con frecuencia escucho sobre los riesgos de seguridad de usar Android. Pero pocas personas que escriben artículos sobre este tema alguna vez identifican qué partes de Android tienen la culpa, ni identifican fallas de diseño. ¿Alguien me puede in...
hecha 16.12.2013 - 03:03
1
respuesta

OWASP CSRFGuard obtiene el token a través de XMLHttpRequest: ¿por qué?

Quiero usar el CSRFGuard Project para proteger una aplicación web heredada contra ataques CSRF. La última versión publicada de la dependencia de Maven es 3.1.0, que es lo que uso. Esto es parte del código JavaScript que se incluye en cada p...
hecha 08.12.2016 - 18:41
3
respuestas

¿Por qué sigue siendo válida una firma .jar si se ha agregado un archivo al jar?

Estaba leyendo la página de manual para el jarsigner herramienta que viene con el JDK. Esta línea me sorprendió:    Una verificación aún se considera exitosa si ninguno de los archivos que estaban en el archivo JAR cuando se generó la...
hecha 18.07.2016 - 15:45
1
respuesta

¿Uso de sal para la seguridad de Spring?

Utilizo Spring Security para aplicaciones web Java y he escrito un proveedor de autenticación que funciona sin sal y ahora quiero agregar sal o, alternativamente, usar los algoritmos incorporados con seguridad Spring que parecen ser SHA y que...
hecha 18.12.2013 - 19:28
1
respuesta

¿Hay un PRNG en Java con un período de al menos 256 bits?

Por lo que puedo decir, los Sun JRE / JDK se limitan a proporcionar solo criptografía de 128 bits sin descargar archivos de política de jurisdicción de fuerza ilimitada. Mi pregunta es, si instalo estos archivos, ¿hay un PRNG con suficientes gra...
hecha 10.03.2016 - 16:14