powered by simpleCommunicator - 2.0.31     © 2024 Programmizd 02
Форумы / Java [игнор отключен] [закрыт для гостей] / HTTP Verb Tampering
9 сообщений из 9, страница 1 из 1
HTTP Verb Tampering
    #40126385
XEugene
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
fortify указывает на проблему HTTP Verb Tampering.
В чём суть проблемы в данном случае?
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126396
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
XEugene,
У тебя правила на get и post, а их дофига.
Ну базовая аутентификация это дырища
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126408
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
По скриншоту непонятно куда конкретно в файле указывает fortify.

Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ?
Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126411
Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок.

Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат.

Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126413
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Я фигею с этого CONFIDENTIAL. Это в каком-же мозге такой фантастический параметр был создан?
Это я не адрес автора. А в смысле J2EE.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126619
XEugene
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
XEugene,
У тебя правила на get и post, а их дофига.
Ну базовая аутентификация это дырища


Да, так и подумал.

PetroNotC Sharp

Ну базовая аутентификация это дырища


BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer.
Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126620
XEugene
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
mayton
По скриншоту непонятно куда конкретно в файле указывает fortify.

Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ?
Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю.

Там вообще не формочки, а REST.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126621
XEugene
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок.

Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат.

Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше.

Он явно только на конфиг тут смотрит.
...
Рейтинг: 0 / 0
HTTP Verb Tampering
    #40126636
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
XEugene
BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer.
Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml.
смотря где.
В java EE проекте нельзя. Там большой сервер берет метод аутентификации.
Если сервер соответствует спеке.
Ну а бут с автоконфигами наверно все можно выкинуть))
...
Рейтинг: 0 / 0
9 сообщений из 9, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / HTTP Verb Tampering
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]