Preguntas con etiqueta 'tomcat'

5
respuestas

Cómo proteger Tomcat 7 contra el ataque de Slowloris

Estoy usando Apache Tomcat 7 para ejecutar mi aplicación web en Linux. Lo escanee por Acunetix y me dice que mi aplicación web es vulnerable a "Ataque lento de denegación de servicio HTTP". ¿Cómo puedo protegerlo? Acunetix me está refiriendo...
hecha 18.09.2013 - 17:07
3
respuestas

¿El procedimiento de acción recomendado para prevenir Logjam en los servidores Tomcat realmente elimina todos los riesgos de las claves DH débiles?

¿Alguien puede verificar que esta solución se proteja contra vulnerabilidad de Logjam para Apache Tomcat? Soy escéptico acerca de su efectividad, ya que no menciona cómo implementar el archivo de parámetros DH de 2048 bits definido por el...
hecha 21.05.2015 - 12:35
3
respuestas

Utilizando el comando openssl, ¿cómo puedo saber si está usando TLS 1.0?

Debido a un análisis de seguridad, me dijeron que no usara TLS1.0. Encontré un enlace que me dio los comandos que debo usar para verificar si se usa / habilita un protocolo específico. El comando que ejecuté (con salida es) (Salida de TLS1....
hecha 19.09.2017 - 00:44
1
respuesta

Creando un certificado TLS usando keytool con SHA-256

Quiero crear un certificado TLS para mi servidor web tomcat8 personal en un servidor Debian ARM. He hecho esto antes, usando el siguiente comando: /usr/bin/keytool -genkey -alias tomcat -keyalg RSA -keystore /opt/keystore/keystore_tomcat Te...
hecha 12.09.2015 - 15:59
1
respuesta

¿La CA debe ser la misma para la autenticación mutua?

Estoy intentando establecer una autenticación mutua entre mi servidor Tomcat y el firewall de mi cliente. El certificado de servidor que tenemos es de Digicert (Root CA) y RapidSSL (intermedio). La cadena de certificados en el bloque Se...
hecha 03.12.2018 - 06:24
1
respuesta

¿Por qué CVE-2017-12617 se considera una vulnerabilidad?

CVE-2017-12617 es una vulnerabilidad de ejecución remota de código a través de la carga JSP. Requiere que el método HTTP PUT esté habilitado en una instancia de Tomcat vulnerable. ¿Por qué se considera esto una vulnerabilidad y un CVE digno...
hecha 17.11.2017 - 13:24
1
respuesta

¿TrustManager PKIX (o RFC 3280 / X.509) realmente verifica la fecha de vencimiento del certificado de cliente?

Se observó que la implementación predeterminada de java de TrustManagerFactory para el algoritmo del administrador de confianza de PKIX ( X509ExtendedTrustManager ) no verifica realmente la fecha de vencimiento del cer...
hecha 16.11.2015 - 12:00
1
respuesta

Desinfectar publicaciones XSS de terceros en la API de Java

Tenemos algunos servicios RESTful API que hemos estado usando durante varios años. Recientemente, hemos empezado a considerar la posibilidad de presentarlos a clientes de terceros para que puedan escribir sus propias interfaces de usuario y poda...
hecha 24.08.2016 - 23:00
1
respuesta

Vulnerabilidades de JBoss Web [duplicado]

En mi organización encontré servidores que ejecutan JBoss Web / 7.0.13.Final y JBoss Web / 7.0.12.Final. No pude encontrar vulnerabilidades de seguridad para las versiones de este servidor, pero me parecen antiguas. ¿Cómo puedo encontrar...
hecha 13.06.2018 - 18:55
1
respuesta

¿Este parámetro es vulnerable a la inyección SQL?

El servidor backend está ejecutando Tomcat 8.5 (backend Java). La URL en cuestión es: https://website.com/application/servlet.do?currentOID=abc12300000000 Encontré que cuando doy un OID incompleto (es decir, 1 char quita), o agrego un char...
hecha 30.08.2018 - 15:39