Articles of security

JAAS para los seres humanos

Me está costando entender JAAS. Todo parece más complicado de lo que debería ser (especialmente los tutoriales de Sun). Necesito un tutorial simple o un ejemplo sobre cómo implementar la seguridad (autenticación + autorización) en la aplicación java basada en Struts + Spring + Hibernate con un repository de usuario personalizado. Puede ser implementado usando […]

Cómo eliminar ASP.Net MVC Default HTTP Headers?

Cada página en una aplicación MVC con la que estoy trabajando establece estos encabezados HTTP en las respuestas: X-Powered-By: ASP.NET X-AspNet-Version: 2.0.50727 X-AspNetMvc-Version: 2.0 ¿Cómo evito que se muestren?

¿Cómo asegurar servicios web RESTful?

Tengo que implementar servicios web RESTful seguros. Ya investigué un poco usando Google pero estoy estancado. Opciones: TLS (HTTPS) + HTTP Basic (pc1oad1etter) HTTP Digest OAuth de dos patas un enfoque basado en cookies certificados de cliente (Tom Ritter y aquí ) Solicitudes firmadas utilizando HMAC y una vida útil limitada ¿Hay más opciones posibles […]

Deshabilitar la reflexión de Java para el hilo actual

Necesito llamar a un código Java semi-confiable y quiero desactivar la capacidad de usar el reflection durante la ejecución del código. try{ // disable reflection somehow someObject.method(); } finally{ // enable reflection again } ¿Se puede hacer esto con un SecurityManager? De ser así, ¿cómo? Aclaración / contexto: esta es una continuación de otra pregunta […]

¿El comportamiento detrás de la vulnerabilidad Shellshock en Bash está documentado o es intencional?

Se reveló una vulnerabilidad reciente, CVE-2014-6271 , sobre cómo interpreta Bash las variables de entorno. El exploit se basa en el análisis de Bash de algunas declaraciones de variables de entorno como definiciones de funciones, pero luego sigue ejecutando el código siguiendo la definición: $ x='() { echo i do nothing; }; echo vulnerable’ bash […]

Error de WCF: el servicio no autenticó a la persona que llama

Estoy intentando acceder a mi servicio WCF en un servidor desde la aplicación de mi consola cliente para realizar pruebas. Estoy teniendo el siguiente error: La persona que llama no fue autenticada por el servicio Estoy usando wsHttpBinding . No estoy seguro de qué tipo de autenticación espera el servicio? Actualizar Funciona si cambio mi […]

X-Frame-Options Allow-From múltiples dominios

Tengo un sitio asp.net 4.0 IIS7.5 que necesito asegurar usando la opción x-frame headers También necesito habilitar las páginas de mi sitio para que sean iframed desde mi mismo dominio y desde mi aplicación de Facebook. Actualmente tengo mi sitio configurado con un sitio encabezado por: Response.Headers.Add(“X-Frame-Options”, “ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite”) Cuando vi mi página de […]

Win32: ¿Cómo validar las credenciales contra Active Directory?

Se ha preguntado y respondido por .NET , pero ahora es el momento de obtener una respuesta para el código Win32 nativo: ¿Cómo valido un nombre de usuario y contraseña de Windows? Hice esta pregunta antes para el código administrado . Ahora es el momento de la solución nativa. Es necesario señalar las dificultades con […]

Cómo cerrar sesión correctamente de una aplicación web Java EE 6 después de iniciar sesión

Un requisito bastante simple. Después de iniciar sesión en la aplicación web J2EE 6, ¿cómo puedo hacer que el usuario cierre la sesión nuevamente? La mayoría (¿todos?) De los libros y tutoriales que he visto muestran cómo agregar una página de login / loginerror a su aplicación y demostrar el uso de los principales / […]

Cómo personalizar la API web ASP.NET AuthorizeAttribute para requisitos inusuales

Estoy heredando de System.Web.Http.AuthorizeAttribute para crear una rutina de autorización / autenticación personalizada que cumpla con algunos requisitos inusuales para una aplicación web desarrollada con ASP.NET MVC 4. Esto agrega seguridad a la API web utilizada para llamadas Ajax desde la web. cliente. Los requisitos son: El usuario debe iniciar sesión cada vez que realice […]