0

这里有一个加重的问题,任何帮助都会很棒。基本上,我们的一位客户加强了他们的安全性并实施了 OWASP (owasp.org)。现在,我们现有的一些网站功能在回发时返回了安全违规。我将主要问题之一缩小到 Telerik RadTabStrip。一旦包含 RadTabStrip 条带的页面回发,OWASP 就会返回安全违规。不幸的是,我们无法访问日志,并且客户端给了我们一些片段,但它们似乎与 SQL 注入相关,并且还与视图状态进行模式匹配。

然后我用一个 RadTabStrip 和 4 个 RadTab/RadPageViews 创建了一个空白页面,每个都包含一个字母和一个可以回传的按钮。单击按钮后,引发了安全违规。所以我有大约 99.99% 的肯定是,它返回的是 RadTab 发回的误报。然后我修改了我们现有的页面之一以实现 JQuery 选项卡而不是 RadTabs。这很成功,但问题是这将是一个有点冗长的大修,并且希望那里的人可能对我有一个想法。现在请注意,客户端拒绝在 OWASP 安全性中做出任何例外。

4

1 回答 1

0

“OWASP”是什么意思?

我们有数百个项目。我猜你的意思是 .NET 的 ESAPI?

如果他们不打算调整 ESAPI 的配置,那么最好的前进方式很可能是查看您是否可以向 Telerik 拨打支持电话,并查看是否可以修改 RadTabStrip 以在 ESAPI 范围内执行此操作。

或者,您可以剪切并粘贴异常,看看我们是否可以弄清楚控件正在做什么,看看是否有可能起作用的调整?

谢谢安德鲁

(真的很懒散) ESAPI for PHP Lead,OWASP Developer Guide 2013 Lead,OWASP Top 10 2007 Lead and General Agent of chaos

于 2012-07-11T10:27:40.887 回答