我最近的任务是领导一项改进我们的输入(和输出)验证的工作,同时考虑到 OWASP 建议和 PCI 合规性。在此过程中,我试图评估 ESAPI.NET 项目的价值,该项目自 09 年春季以来似乎没有任何活动,而且目前尚不完整。
有人有使用或扩展 ESAPI.NET v0.2 的经验吗?现在是构建基础设施以解决目标漏洞的良好起点吗?
仅供参考:我正在研究 MS AntiXSS,当然,它只解决了 ESAPI 范围的一部分。我们已经在 SQL 注入方面做得很好,尽管我们需要做一些改进。
(如果有人想创建 ESAPI 标签,请随意。我没有魔力。)
上周似乎有几个更新:http ://code.google.com/p/owasp-esapi-dotnet/source/list
您可以联系该列表中的一位项目负责人,询问发生了什么。
注意:2012 年 5 月 26 日:该项目的最后一次更新是 2010 年 12 月 4 日。是的,它已经死了。
看起来 ESAPI 已经过时了。没有人使用它,没有问题,没有论坛,没有信息,什么都没有。列表服务器(这是什么,1996 年?)也很贫瘠。文档很糟糕,swingset 中的示例不起作用(安装的服务器是 HTTP 而不是 HTTPS,并且不能在 HTTP 模式下进行任何事务)。
似乎是一个死胡同的项目。
该项目本身似乎已经死了,但是有些人维护了一个带有几个(次要?)添加的 github 副本......