|
|
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
fortify указывает на проблему HTTP Verb Tampering. В чём суть проблемы в данном случае? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2022, 18:08 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
XEugene, У тебя правила на get и post, а их дофига. Ну базовая аутентификация это дырища ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2022, 20:05 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
По скриншоту непонятно куда конкретно в файле указывает fortify. Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ? Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2022, 21:04 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок. Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат. Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2022, 21:13 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
Я фигею с этого CONFIDENTIAL. Это в каком-же мозге такой фантастический параметр был создан? Это я не адрес автора. А в смысле J2EE. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.01.2022, 21:31 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp XEugene, У тебя правила на get и post, а их дофига. Ну базовая аутентификация это дырища Да, так и подумал. PetroNotC Sharp Ну базовая аутентификация это дырища BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer. Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.01.2022, 14:53 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
mayton По скриншоту непонятно куда конкретно в файле указывает fortify. Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ? Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю. Там вообще не формочки, а REST. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.01.2022, 14:54 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
Stanislav Bashkyrtsev Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок. Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат. Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше. Он явно только на конфиг тут смотрит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.01.2022, 14:56 |
|
||
|
HTTP Verb Tampering
|
|||
|---|---|---|---|
|
#18+
XEugene BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer. Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml. В java EE проекте нельзя. Там большой сервер берет метод аутентификации. Если сервер соответствует спеке. Ну а бут с автоконфигами наверно все можно выкинуть)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.01.2022, 15:28 |
|
||
|
|
start [/forum/topic.php?fid=59&fpage=2&tid=2120267]: |
0ms |
get settings: |
18ms |
get forum list: |
5ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
40ms |
get topic data: |
7ms |
get forum data: |
1ms |
get page messages: |
167ms |
get tp. blocked users: |
1ms |
| others: | 319ms |
| total: | 560ms |
| 0 / 0 |
