Archiv der Kategorie: Security

REST & Security: A Stateless Token Servlet

Publiziert am 10. Februar 2015 von Sven Hasselbach

I have uploaded some of my projects to GitHub, including an alpha version of a stateless token servlet. The servlet has it’s own authentication mechanism (the password is currently not validated), and for developing purposes it uses HTTP GET. In … Weiterlesen

Veröffentlicht unter Java, REST, Security, Web | Verschlagwortet mit , , , , | Schreib einen Kommentar

REST & Security: Same-Origin Policy / CORS

Publiziert am 2. Februar 2015 von Sven Hasselbach

The „Same-orginin policy„ is an important concept for protecting web applications. In short, only resources from the same domain are allowed, everything else is permitted denied. To allow access other domains in your application, you have to enable „CORS„, a … Weiterlesen

Veröffentlicht unter Java Script, REST, Security, Web | Verschlagwortet mit , , , | 2 Kommentare

Raspberry Pi vs. IBM Bluemix – 1:0

Publiziert am 28. Januar 2015 von Sven Hasselbach

I had some time last night (the whole family had gone to bed early), so I spent some to look at the XPages integration into Bluemix. I found the Greenwell Travel Expenses Demo: But after clicking a link, the page … Weiterlesen

Veröffentlicht unter Security, Web, XPages | Verschlagwortet mit , , , , | 6 Kommentare

Security: Usefull HTTP Response Headers

Publiziert am 14. Januar 2015 von Sven Hasselbach

Here is a list of usefull HTTP headers for responses you should know about: X-Content-Type-Options When set to „nosniff„, this header will prevent browsers from MIME-sniffing a response away from the declared content-type. While this header is more relevant for … Weiterlesen

Veröffentlicht unter Allgemein, Security | Verschlagwortet mit | Schreib einen Kommentar

Hardening SSH vs. Eclipse RSE

Publiziert am 13. Januar 2015 von Sven Hasselbach

After hardening the SSH configuration on a Debian server by removing unsecure ciphers and MACs I got in trouble with Eclipse Remote System Explorer. When trying to open the server, I always got an „Algorithm negotiation fail“ message: Even installing … Weiterlesen

Veröffentlicht unter Security | 2 Kommentare

REST & Security: CSRF Attacks

Publiziert am 30. Dezember 2014 von Sven Hasselbach

In this post I will demonstrate how a do a CSRF attack against a XPages REST service. Let’s assume that we have a custom REST service on a XPage. To keep the example as simple as possible, this service returns … Weiterlesen

Veröffentlicht unter REST, Security | Verschlagwortet mit , | 5 Kommentare

REST & Security

Publiziert am 23. Dezember 2014 von Sven Hasselbach

I am currently wearing my white hat and doing some pen and vulnerabilty tests for a RESTful API. While this is actually a hot topic in the Domino world, here are some resources: CSRF & REST: Stateless CSRF Protection Stateless Session … Weiterlesen

Veröffentlicht unter Security | Verschlagwortet mit , | 11 Kommentare

Security: Another XSS Vulnerability in Domino

Publiziert am 11. September 2012 von Sven Hasselbach

Stephan Wissel wrote about a XSS vulnerabilty for Domino servers (< 8.5.4) and in his post you will get an advise how to protect your domino server against this attack. Thanks for this! Works great! But there is still a … Weiterlesen

Veröffentlicht unter Infrastruktur, Java Script, Security, Server, Web, XPages | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

DocumentDataSource with Signer/SignerWithFullAccess-Rights

Publiziert am 31. Mai 2012 von Sven Hasselbach

Yesterday I read the very interessting question from Daniele Grillo at stackoverflow.com: Is a datasource available for XPages who can access the underlying document with different access levels? I have never seen one before, so I decided to do some … Weiterlesen

Veröffentlicht unter Java, JSF, Security, ServerSide JavaScript, XPages | Verschlagwortet mit , , , , , , | 7 Kommentare

Security: Domino Server Backdoor (2)

Publiziert am 19. Januar 2012 von Sven Hasselbach

Aus einer XPages-Applikation lässt sich der XSP Command Manager (das zugrundeliegende OSGi Framework) fernsteuern. Das Kommando entspricht dem Befehl tell http xsp <BEFEHL> auf der Domino Serverkonsole, nur dass hierfür kein Serverkonsolenzugriff benötigt wird. Mit Hilfe der folgenden XPage lassen … Weiterlesen

Veröffentlicht unter Allgemein, Security, Server, XPages | Verschlagwortet mit , , , , , | 1 Kommentar