آیا Apache Tomcat 9 مطابقت PCI را برآورده می کند؟ از کجا باید شروع به خواندن کنم و اطلاعاتی راجع به آن موضوع جمع کنم؟
آیا Tomcat از طریق mod_proxy_ajp در برابر "Ghostcat" (CVE-2020-1938) آسیب پذیر است؟
آیا می توان از آسیب پذیری "Ghostcat" (CNVD-2020-10487 / CVE-2020-1938) به طور غیرمستقیم بیش از mod_proxy_ajp استفاده کرد؟ من در هنگام هدف قرار دادن درگاه AJP Tomcat من توانستم با موفقیت سوء استفاده از اثبات مفهوم (https://www.exploit-db.com/exploits/48143) را امتحان کنم. با این حال ، نمونه Tomcat من مستقیماً در دسترس خارجی نیست ، بلکه در…
آیا Tomcat در برابر CSRF صحیح محافظت می کند؟
اگر من این را صحیح بخوانم راهی که Tomcat از CSRF محافظت می کند ، آن را در برابر شرایطی که توکن CSRF در کوکی کپی شده باشد ، آسیب پذیر می کند و پارامترهایی را درخواست می کند که به مهاجم اجازه می دهد تا به سادگی یک توکن اختراع کند (همانطور که در…
tls – آیا می توانم بعد از ارتقاء Openssl ، موارد خاص SSL را بازسازی کنم
Heartbleed یکی از آسیب پذیری های موجود در کتابخانه OpenSSL است ، بطور خاص نحوه برخورد با ضربان قلب. کاملاً ارتباطی با تولید گواهینامه ندارد. این گواهینامه نمی تواند در برابر Heartbleed ، فقط نسخه کتابخانه OpenSSL آسیب پذیر باشد. این گفته است ، اگر گواهینامه شما و کلید خصوصی مرتبط با آن روی یک…
tls – استفاده از گواهینامه در همان سرور اما پورت مختلف برای https
من یک سرور گواهی HTTPS را از سرور دریافت کرده ام که می خواهم از همان سرور استفاده کنم ، فقط در یک پورت متفاوت. گواهینامه دارای نام جایگزین موضوع است که در آن تعریف شده است. با استفاده از keytool ، یک فروشگاه اصلی جدید ایجاد کردم ، گواهی موجود را اضافه کردم و…