Preguntas con etiqueta 'java'

preguntas con etiqueta
1
respuesta

¿Se pueden usar los archivos Jasper como shells para atacar aplicaciones web de Java?

   JasperReports es una herramienta de generación de informes Java de código abierto que puede escribir en una variedad de destinos, como: pantalla, una impresora, en PDF, HTML, Microsoft Excel, RTF, ODT, valores separados por comas o archivos X...
hecha 18.02.2013 - 13:10
1
respuesta

Cómo autenticarse correctamente en Java

Tengo que escribir algún módulo de inicio de sesión para la aplicación Java EE. Anteriormente, estaba usando JBoss security ; se proporcionó el inicio de sesión y la contraseña, se llamó HttpServletRequest con el método de inicio...
hecha 03.09.2014 - 14:26
1
respuesta

Configuración de conjuntos de cifrado GCM en un servidor basado en Jetty

Tengo un servicio http seguro basado en Jetty, y deseo ser compatible con los conjuntos de cifrado GCM. Sé que Jetty utiliza internamente cifrados basados en JSSE, y hay muchos cifrados GCM que vienen con JSSE como se documenta aquí: enlace...
hecha 10.09.2013 - 15:04
1
respuesta

¿Cómo funciona StandardPBEStringEncryptor?

Tengo que cifrar algunos datos de String y poder descifrarlos. Así que intenté el cifrado simplificado de Java (Jasypt), usé StandardPBEStringEncryptor. Funciona. Puedo cifrar y descifrar, pero no entiendo cómo este algoritmo puede descifrar la...
hecha 15.03.2018 - 09:54
0
respuestas

Cómo utilizar la asignación personalizada de JAXB a las clases de la lista blanca que se pueden instanciar en XML

Las vulnerabilidades conocidas asociadas con JAXB son: XXE billones de risas RCE que se deben a la deserialización de datos no confiables y la resolución de referencias externas. Soy consciente de las siguientes configuraciones que de...
hecha 14.06.2018 - 16:58
0
respuestas

Almacén de claves / certificado personalizado para contener claves asimétricas (RSA)

Mi aplicación requerirá mantener un par de llaves RSA localmente en la máquina del usuario. Me decepcionó un poco descubrir que PKCS # 12 y JKS no ofrecen más que 3DES (corríjame si me equivoco). O siéntete libre de sugerir un estándar que lo ha...
hecha 12.07.2017 - 07:48
0
respuestas

¿Por qué el uso de java reflection api java.lang.reflect.get * no es seguro? [cerrado]

A continuación se muestra el código que hace que un campo privado de una clase sea accesible usando el método setAccessible de reflexión java y obteniendo el valor del campo usando el método java.lang.reflect.get, finalmente la configurac...
hecha 30.03.2017 - 05:34
1
respuesta

¿Se considera RMI una entrada no confiable incluso con TLS?

Si una aplicación tiene una API de RMI que se usa internamente (servidores que se comunican entre sí), ¿la información proveniente de esas llamadas se considera confiable o aún se requiere validación? No puedo encontrar muchos detalles en lín...
hecha 25.09.2017 - 12:27
1
respuesta

Cómo habilitar SOLAMENTE TLS 1.2 en Java, bloqueando SSL TLS1.0 y TLS 1.1 [cerrado]

Estoy creando mi contexto SSL de esta manera: SSLContext ret = SSLContext.getInstance("TLSv1.2"); Cuando entré en Firefox y lo forcé a deshabilitar TLS1.2, noté que la página aún estaba cargada usando TLS1.1 Me gustaría asegurarme de que...
hecha 03.11.2016 - 00:19
1
respuesta

Almacenar de forma segura la contraseña para Java Keystore

Background Estoy implementando un conjunto de servicios de Micro usando Java spring MVC y alojado en contenedores Undertow usando Gradle. Estoy utilizando un almacén de claves de Java para proteger mis claves que utiliza el servicio para reali...
hecha 07.01.2017 - 09:49