Boa tarde! alguem ja passou por uma auditoria em segurança de aplicativo web ?
Poderiam me dizer os pontos mais checados e como ja verificar as vulnerabilidades do jsf ou aplicativos web em geral ?
Baixei alguns programas que testam a vulnerabilidade de sites e surgiram algumas dúvidas.
No websecurity por exemplo, ele mostra 3 falhas para correção
HTTPOnly Flag - em alguns locais do aplicativo eu uso o setAttribute do HttpSession
FacesContext fc = FacesContext.getCurrentInstance();
HttpSession hs = (HttpSession) fc.getExternalContext().getSession(false);
hs.setAttribute(“nome”,valor);
Autocomplete=“off” <h: form> nao tem a propriedade autocomplete … logo se eu defino isso dá erro
HTTP Banner Disclosure - dei uma pesquisada e nao consegui inibir a exibição do meu servidor “apache” nem a versao do jsf que estou usando “1.2”
Alguem tem algum material sobre segurança da informação em JSF ? Nome de livro que foque isso ?
Muito obrigado
João Rueda