Preguntas con etiqueta 'spring-framework'

2
respuestas

¿Es mala la práctica de enviar por correo electrónico?

En mi aplicación Spring, planeaba eliminar las contraseñas del proceso de autenticación al enviar un "enlace de inicio de sesión mágico" a la dirección de correo electrónico de un usuario. Sin embargo, en esta pregunta Rob Winch (líder de Spri...
hecha 15.01.2018 - 16:45
2
respuestas

CSRF en la arquitectura de microservicio

¿Cuál debería ser la forma correcta de implementar la protección CSRF en la arquitectura de microservicio? Donde los servicios son apátridas. ¿Para poner la verificación CSRF en la entrada del sistema? p.ej. Puerta de enlace Con esta op...
hecha 13.02.2017 - 15:58
2
respuestas

Asegurar la arquitectura de micro servicios internamente

Estoy implementando una solución con un conjunto de Micro Services (Spring Rest Services) con Rabbit MQ como intermediario de mensajes. El servidor perimetral se autentica utilizando un servidor de identidad basado en OAuth. Las llamadas interna...
hecha 22.12.2016 - 23:03
0
respuestas

¿Métodos de llamada con Expression Language Injection en Spring Framework?

Actualmente estoy en un pentest y me he encontrado con un parámetro de URL que es vulnerable a la inyección de Expression Language (EL) y puedo demostrarlo al acceder a propiedades como $ {pageContext}. Sin embargo, parece que tengo acceso a...
hecha 03.06.2016 - 13:55
2
respuestas

El token CSRF no está vinculado a la sesión en la aplicación Spring

Estamos desarrollando una aplicación Spring con Spring Security. Después de realizar algunas pruebas de lápiz, uno de los resultados de la prueba fue una vulnerabilidad:    El token de falsificación de solicitud entre sitios no está vinculado...
hecha 27.02.2018 - 20:03
1
respuesta

¿Cómo se determina qué parámetro de fuerza se pasa a BCryptEncoder (el valor predeterminado es 10) en Spring Java?

La documentación de la primavera doesn ' No digo mucho , solo que la resistencia predeterminada es 10. ¿Cómo se determina cuándo se puede garantizar el uso de una mayor resistencia y cuál es la compensación?     
hecha 13.10.2017 - 16:12
1
respuesta

Inyección de SQL falsa positiva por ZAP con la adición de una nueva consulta de parámetros

Tengo una aplicación web Spring MVC y estoy ejecutando ZAP Active scan en ella. Noté que ZAP modificará la URL y agregará un parámetro adicional llamado query y valor query+AND+1%3D1+--+ para probar la inyección de SQL. Y en mi...
hecha 17.08.2018 - 12:49
1
respuesta

¿Necesita consejos sobre la clave API y la generación secreta?

Mientras trabajo en un proyecto Java usando Spring-boot, Spring-security y JWT token, necesito proporcionar acceso a través de la clave API y el secreto. Después de buscar en Google durante un tiempo sobre la generación de claves / secretos, est...
hecha 23.02.2018 - 10:55
1
respuesta

Almacenamiento de token de autenticación después de la autenticación de la base de datos

He trabajado en una aplicación de back-end RESTful de Spring 4 MVC. Nos autenticamos en un servidor OpenAM, y un token largo se almacena en una cookie en el front-end. El front-end saca el token de la cookie y lo pasa como encabezado en cada lla...
hecha 12.09.2016 - 18:46
1
respuesta

¿Me faltan lagunas con la gestión de mi sesión actual?

Estoy creando un sitio con Spring, que requiere autenticación para poder acceder a ciertas páginas. El sitio en realidad está compuesto por un host cliente, que representa las vistas y maneja el enlace de datos, y un host de API REST (también...
hecha 28.03.2017 - 21:17