Discussoes de Programacao e Tecnologia

Segurança no JAAS/j_security_check

1 resposta
C
cris_rufino

Pessoal,

Estou fazendo um levantamento das possíveis falhas na comunicação das minhas aplicações web.
São aplicações java/tomcat/struts, usando JAAS para autenticação.

Minhas dúvidas são sobre o form JSP da página de login, que usa o j_security_check para submeter usuário e senha:

  1. Verifiquei que esse form tem um tempo de sessão, que após o form carregado, tem um tempo para ser submetido. Qualquer submit após esse tempo dá falha no login.
    Tem uma sessão interna no j_security_check? Trata-se de uma implementação de segurança?

  2. É possível que um invasor fabrique uma requisição HTTP, se fazendo passar pelo j_security_check?
    Ou teoricamente o JAAS resolve essa parte de segurança?

Qualquer idéia é bem-vinda.

Atte,
Cristiano.

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

1 Resposta

pdioniziofilho
pdioniziofilho

  1. Não seria a sua sessão web expirando?

  2. Se o JAAS não fizesse isso você concorda que esse tipo de “Form Injection” já teria sido utilizado várias vezes por várias pessoas e eles já não teriam corrigido isso?

Criado 24 de fevereiro de 2010
Ultima resposta 24 de fev. de 2010
Respostas 1
Participantes 2

Topicos relacionados

Compilar e executar uma classe java pelo prompt do windows 13 respostas [RESOLVIDO] Como executar função JavaScript após página carregada 13 respostas Java.lang.OutOfMemoryError: Java heap space - Como resolver? 11 respostas Como consultar CPF na Receita Federal usando Web Service? 22 respostas Como acessar localhost de forma externa? [RESOLVIDO] 13 respostas
Alura POO: o que é programação orientada a objetos? Aprenda os conceitos básicos da programação orientada a objetos, como classes, objetos, herança, encapsulamento e polimorfismo, com exemplos.
Casa do Codigo JavaScript Assertivo: Testes e qualidade de codigo em... Por Gabriel Ramos — Casa do Codigo