|
Действия ...
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
13.01.2022, 18:08
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
fortify указывает на проблему HTTP Verb Tampering. В чём суть проблемы в данном случае? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
13.01.2022, 20:05
|
|||
|---|---|---|---|
|
|||
HTTP Verb Tampering |
|||
|
#18+
XEugene, У тебя правила на get и post, а их дофига. Ну базовая аутентификация это дырища ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
13.01.2022, 21:04
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
По скриншоту непонятно куда конкретно в файле указывает fortify. Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ? Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
13.01.2022, 21:13
|
|||
|---|---|---|---|
|
|||
HTTP Verb Tampering |
|||
|
#18+
Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок. Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат. Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
13.01.2022, 21:31
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
Я фигею с этого CONFIDENTIAL. Это в каком-же мозге такой фантастический параметр был создан? Это я не адрес автора. А в смысле J2EE. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
14.01.2022, 14:53
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
PetroNotC Sharp XEugene, У тебя правила на get и post, а их дофига. Ну базовая аутентификация это дырища Да, так и подумал. PetroNotC Sharp Ну базовая аутентификация это дырища BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer. Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
14.01.2022, 14:54
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
mayton По скриншоту непонятно куда конкретно в файле указывает fortify. Возможно url-pattern /* слишком либеральный. Зачем по всему дереву ресурсов разрешать POST ? Там-же 1-2 формочки а не тыща. Ну я так себе это понимаю. Там вообще не формочки, а REST. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
14.01.2022, 14:56
|
|||
|---|---|---|---|
HTTP Verb Tampering |
|||
|
#18+
Stanislav Bashkyrtsev Чем прекрасен Fortify, так это его прекрасной документацией: HTTP Verb Tampering . Речь о том что в своем конфиге ты описал только GET & POST методы как те которые CONFIDENTIAL. Соответственно если я отправлю HEAD или какой-то вымышленный BLAH, то он дойдет до сервлета без всяких проверок. Я не знаю смотрит ли Fortify на то реально ли ты обрабатываешь все возможные и невозможные HTTP методы, либо он смотрит только на конфиг. От этого зависит есть ли у тебя настоящая дыра или это, возможно, ложноположительный результат. Как это чинится не знаю, я не знаток JEE. Но по идее нужно где-то указать что мы позволяем только такие-то HTTP методы и никакие больше. Он явно только на конфиг тут смотрит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
14.01.2022, 15:28
|
|||
|---|---|---|---|
|
|||
HTTP Verb Tampering |
|||
|
#18+
XEugene BASIC это вообще какой-то древний копипаст. Прикол в том, что авторизация на самом деле bearer. Есть подозрение, что все эти секьюрити настройки можно вообще выкинуть из web.xml. В java EE проекте нельзя. Там большой сервер берет метод аутентификации. Если сервер соответствует спеке. Ну а бут с автоконфигами наверно все можно выкинуть)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=59&tablet=1&tid=2120267]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
125ms |
get topic data: |
12ms |
get forum data: |
2ms |
get page messages: |
46ms |
get tp. blocked users: |
1ms |
| others: | 12ms |
| total: | 227ms |
| 0 / 0 |
