Preguntas con etiqueta 'java'

preguntas con etiqueta
0
respuestas

Configurar burp para interceptar JNLP

Estoy monitoreando un sitio donde hay un applet. Para usarlo, está la descarga y la ejecución de un archivo jnlp. Me gustaría monitorear las solicitudes hechas desde y hacia ese archivo a través de Burp. Leí la documentación aquí https://port...
hecha 21.12.2018 - 13:11
1
respuesta

¿La respuesta de verificación de la licencia necesita más confusiones para hacerlo más seguro?

He creado una aplicación para Android que es una aplicación de pago. La aplicación utiliza la biblioteca de verificación de licencias de Google para las comprobaciones de licencia y la implementación de la política ServerManaged. Como ServerMana...
hecha 21.12.2018 - 18:57
1
respuesta

explotación de lectura arbitraria de archivos de la aplicación Tomcat

En la reciente prueba de lápiz de caja negra de una aplicación web alojada en CentOS, encontré una vulnerabilidad que me permitió capturar el contenido de los archivos (tipo de inclusión de archivos) ubicados dentro de la ruta principal de Tom...
hecha 19.11.2018 - 23:29
0
respuestas

¿La carga a Maven Central es un vector plausible de ataque?

¿Es Maven un posible vector de ataque? Analiza a Maven Central como un método de ataque, pero las respuestas suponen MITM, o atacan una biblioteca conocida cargada en Maven Central desde el exterior. Ya sea que usted mismo sea el autor d...
hecha 20.11.2018 - 10:47
0
respuestas

javax.xml. * Explotación XXE

Durante un compromiso de Pentest, encontré una vulnerabilidad XXE en un servicio web SOAP escrito en Java, el sistema operativo es Windows Server y estoy tratando de demostrar qué tan grave es la vulnerabilidad. El problema es que solo puedo lee...
hecha 06.11.2018 - 20:47
2
respuestas

Cómo verificar la integridad de los archivos transferidos en un protocolo de servidor de cliente

¿Cómo implemento la verificación de integridad utilizando la suma de comprobación de archivos en un protocolo cliente-servidor donde el cliente envía múltiples archivos al servidor? Estoy usando los siguientes pasos: El cliente se conecta al...
hecha 28.11.2018 - 04:10
0
respuestas

¿Puede alguien proporcionar una sugerencia para el ejercicio de deserialización de Webgoat 8?

Trabajando en el ejercicio de Deserialización en Webgoat (v. 8) LaextensiónBurp"Java Deserialization Scanner" detecta que esta página es potencialmente vulnerable a la carga útil de Hibernate 5 (suspensión). Sin embargo, la carga útil utiliz...
hecha 09.11.2018 - 22:22
0
respuestas

¿Por qué alguien querría tener acceso prácticamente a una fuente de servlet JSP?

He visto en línea varias veces formas de explotar servidores web como httpd usando conectores como tomcat para exponer el código fuente de un archivo .jsp cuando no se supone que deba hacerlo. Por ejemplo, agregar %01...
hecha 07.12.2018 - 17:49
0
respuestas

Tarjetas inteligentes con funcionalidades ECC y claves privadas no extraíbles

Recientemente comencé a estudiar las tarjetas inteligentes con características ECC. Básicamente, quiero tener una tarjeta Java que pueda calcular firmas ECC y ofrezca algunas garantías de seguridad de que la clave utilizada para la firma solo se...
hecha 07.12.2018 - 22:33
0
respuestas

Qué solución de terceros para la autorización en software Java de escritorio

Supongamos que tengo un software java que distribuyo en mi sitio web. el usuario crea una cuenta en mi sitio web (inicio de sesión + contraseñas) y compra un acceso temporal a mi software. de hecho, la cuenta se crea en el backend de una s...
hecha 08.12.2018 - 00:45