https://javaetmoi.com/tags/servlet/Recent content in Servlet on Java & MoiHugofrThu, 23 May 2013 18:45:16 +0000https://javaetmoi.com/2013/05/mod_headers-rescousse-jsessionid-jboss/Thu, 23 May 2013 18:45:16 +0000http://javaetmoi.com/?p=692Au cours de la migration d’une cinquantaine d’applications web de Websphere vers <strong>JBoss 5.1 EAP</strong>, nous avons été confrontés à un problème de sécurité mis en évidence par l’infrastructure de pré-production : le firewall bloquait systématiquement toute requête comportant un <strong>jsessionid</strong> dans l’ <strong>URL</strong>. Modifier les règles du firewall pour laisser passer ce type de requêtes aurait introduit une faille de sécurité exploitable par appropriation de session web. Cette faille nous a d’ailleurs été révélée en parallèle par l’outil d’audit de sécurité <a href="http://www-03.ibm.com/software/products/us/en/appscan/">IBM AppScan</a>. Ce billet rappelle l’origine du problème et précise quelle solution a été employée pour le résoudre le plus rapidement possible.