måndag 11 maj 2009

Säkerheten i Struts 2

OWASP Intrinsic Security Working Group har precis släppt en publikation som analyserar säkerheten i Struts 2. Dessutom har de tagit fram kod för att överbrygga de luckor som finns. Jag har bara ögnat igenom det än men det ser mycket intressant ut. T ex visar man följande:
  • Skapa en autentiseringsinterceptor
  • Skapa en rollinterceptor (accesskontroll på sidnivå utifrån användarens rättigheter)
  • Skapa en interceptor för header-caching
  • Motverka CSRF med den inbyggda tokenSession-interceptorn
  • Förbättrad felhantering
  • Skapa en interceptor som låser en session till SSL
  • Skapa nya JSESSIONID efter autenticering/auktorisering
Hela dokumentet hittar ni här.

Inga kommentarer: