Olá,
Tenho uma tela de autenticacão em minha aplicacão onde é possível forçar o uso do método GET para submeter as credenciais na rede e autenticar no sistema.
Como essa vulnerábilidade pode ser corrigida?
Alguém teria um exemplo?
Obrigado
Não faz muito sentido uma vez que toda requisição feita pelo JSF é feita com o verbo POST.
De qualquer forma eu também não vejo com isso possa ser uma vulnerabilidade. Você tem alguma idéia de como essa “vulnerabilidade” poderia ser explorada?
Como é feito seu login ? Enviar os dados de login via GET me parece impossível em qualquer login JSF. Como você chegou a essa conclusão?
O que se refere não seria o acesso a páginas direto pela URL? Pois isso sim tem que ser tratado.
De qualquer forma, para dar mais segurança a aplicação pode-se implementar o Captcha no JSF
Olá, desculpe a demora.
marcos1Em, no caso vc está certo. Me refiro ao acesso a página direto pela URL.
No caso, além do Captcha há outra esquema que possa ser implementado ?
Obrigado.