Bonjour,
J'ai actuellement un gros souci sur une application J2EE qui tourne sous JBoss.
J'ai une servlet qui vérifie l'authentification d'un utilisateur après soumission d'un formulaire, j'ai des filters mis en place pour vérifier l'accès à chaque servlet ( si par exemple on essaie d'y accéder sans être en session).
Seulement, quand on tape l'url httpS://application/servletxxx on peut traverser directement, et on se retrouve authentifié avec comme login "null", qui plus est avec des droits d'administration.
J'ai repris cette application récemment, et je ne sais pas très bien d'ou peut provenir cette faille (plutôt conséquente).
Merci de me donner des pistes![]()
Partager