Si no desea incluir todos los concentradores y métodos en el archivo de proxy en JavaScript de cada usuario, puede desactivar la generación automática del archivo. Puede decidirse por esta opción si tiene múltiples concentradores y métodos, pero no desea que cada usuario esté al tanto de todos los métodos.

Los actuadores de Spring Boot permiten a los usuarios supervisar la aplicación e interactuar con ella. Hay diferentes actuadores integrados que exponen datos del sistema e información de depuración a través de puntos finales HTTP, JMX o incluso mediante un shell remoto (SSH o Telnet). Los atacantes pueden beneficiarse de esta información para obtener información del sistema y recopilar información que podría usarse para atacar la aplicación.

Se produce una pérdida de información cuando los datos del sistema o la información de depuración abandonan el programa a través de una secuencia de salida o de una función de registro.

En este caso, Struts 2 Config Browser está configurado en el archivo pom.xml de Maven, por lo que está disponible y se implementa junto con la aplicación.

El complemento Config Browser es una herramienta de depuración para ayudar a ver la configuración de una aplicación en tiempo de ejecución. Es muy útil a la hora de depurar problemas que podrían estar relacionados con problemas de configuración, pero expone demasiados detalles que pueden ayudar a un atacante a asignar y modelar la aplicación.

Se puede establecer un límite de confianza, del mismo modo que dibujar una línea que atraviesa un programa. A un lado de la línea, se encuentran los datos que no son de confianza. En el otro, están los datos que se presuponen confiables. La finalidad de la lógica de validación consiste en permitir que los datos crucen con seguridad el límite de confianza, pasando del lado no confiable al de confianza.

Se puede producir una infracción del límite de confianza cuando un programa difumina la línea entre lo que no es de confianza y lo que confiable. La forma más frecuente de cometer este error es permitir que se mezclen datos de confianza con otros que no lo son en la misma estructura de datos.

Ejemplo 1: El siguiente código Java acepta una solicitud HTTP y almacena el parámetro usrname en el objeto de sesión HTTP antes de asegurarse de si el usuario se ha autenticado.

usrname = request.getParameter("usrname");
if (session.getAttribute(ATTR_USR) != null) {
    session.setAttribute(ATTR_USR, usrname);
}

Sin límites de confianza bien establecidos y conservados, los programadores perderán inevitablemente la noción de los datos que se han validado y aquellos que no. A la larga, esta confusión permitirá que se utilicen algunos datos sin validarlos primero.

Devolver una variable de matriz private desde un método de acceso public permite que el código de llamada modifique el contenido de la matriz, dando a la matriz acceso public y contradiciendo las intenciones del programador que la hizo private.

Ejemplo 1: el siguiente código Applet de Java devuelve incorrectamente una matriz private desde un método de acceso public.

public final class urlTool extends Applet {
private URL[] urls;
public URL[] getURLs() {
	return urls;
}
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.

De forma predeterminada, los Applets de Java tienen permitido abrir las conexiones de base de datos en el servidor desde donde se descargan. Esto es aceptable en entornos confiables; sin embargo, en los entornos no confiables los atacantes pueden usar el Applet para detectar credenciales de base de datos y finalmente obtener acceso a la base de datos directamente.
Ejemplo 1: el código siguiente muestra una contraseña de base de datos codificada de forma rígida que se está usando en un applet.

public class CustomerServiceApplet extends JApplet
{
    public void paint(Graphics g)
    {
        ...
        conn = DriverManager.getConnection ("jdbc:mysql://db.example.com/customerDB", "csr", "p4ssw0rd");
        ...

Los usuarios de un Applet con credenciales JDBC codificadas de forma rígida pueden detectar fácilmente las credenciales, ya que el código de Applet se descarga en el cliente. Además, si la conexión de base de datos se realiza por un canal no cifrado, cualquiera que sea capaz de examinar el tráfico de red también puede obtener las credenciales. Finalmente, permitir a los usuarios conectarse directamente a una base de datos revela la presencia de un servidor de base de datos accesible públicamente, que permite a los atacantes centrarse en la base de datos para ataques de red directos.

Las clases internas introducen discretamente varios problemas de seguridad por la forma en que se traducen en código de bytes Java. En el código fuente Java, parece ser que una clase interna se puede declarar para que sea accesible solo para clase envolvente. Sin embargo, como el código de bytes de Java no tiene concepto de clase interna, el compilador debe transformar una declaración de clase interna en una clase del mismo nivel, con un nivel de acceso de package a la clase externa original. Es más, como una clase interna puede acceder a campos private en su clase envolvente, una vez que una clase interna se convierte en otra del mismo nivel en código de bytes, el compilador convierte los campos private a los que accede la clase interna en campos protected.

Ejemplo 1: el siguiente código Applet de Java utiliza incorrectamente una clase interna.

public final class urlTool extends Applet {
private final class urlHelper {
	...
}
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.

Un programa nunca debería llamar la finalización de forma explícita, salvo llamar super.finalize() dentro de una implementación de finalize(). En situaciones de código móvil, la práctica errónea de recolección manual de elementos no utilizados puede convertirse en una amenaza para la seguridad si un atacante es capaz de invocar de forma malintencionada uno de sus métodos finalize() porque se ha declarado con acceso public. Si está utilizando finalize() tal cual se diseñó, no hay motivos para declarar finalize() con otro acceso que no sea protected.

Ejemplo 1: el siguiente código Applet de Java declara incorrectamente un método public finalize().

public final class urlTool extends Applet {
public void finalize() {
	...
}
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.

En la mayoría de los casos una matriz declarada public, final y static es un error. Como las matrices son objetos mutables, la restricción final requiere que el propio objeto de matriz se asigne una sola vez, pero no garantiza los valores de los elementos de matriz. Como la matriz es pública, un programa malintencionado podría cambiar los valores almacenados en ella. En la mayoría de los casos, la matriz debe hacerse private.

Ejemplo 1: el siguiente código Applet de Java declara incorrectamente una matriz public, final y static.

public final class urlTool extends Applet {
public final static URL[] urls;
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.

Todas las variables de miembro public de un Applet y las clases usadas por un Applet se deben declarar final para impedir que un atacante manipule u obtenga acceso no autorizado al estado interno del Applet.

Ejemplo 1: el siguiente código Applet de Java declara incorrectamente una variable de miembro public pero no final.

public final class urlTool extends Applet {
public URL url;
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.