问题标签 [esapi]

我最近的任务是领导一项改进我们的输入（和输出）验证的工作，同时考虑到 OWASP 建议和 PCI 合规性。在此过程中，我试图评估 ESAPI.NET 项目的价值，该项目自 09 年春季以来似乎没有任何活动，而且目前尚不完整。

有人有使用或扩展 ESAPI.NET v0.2 的经验吗？现在是构建基础设施以解决目标漏洞的良好起点吗？

仅供参考：我正在研究 MS AntiXSS，当然，它只解决了 ESAPI 范围的一部分。我们已经在 SQL 注入方面做得很好，尽管我们需要做一些改进。

（如果有人想创建 ESAPI 标签，请随意。我没有魔力。）

ESAPI for Java 中提供的文档不完整。有没有人可以分享用于会话管理的操作代码示例？

PS：其他代码示例解释从何处以及如何开始使用 ESAPI 也将受到欢迎。谢谢。

我正在尝试使用 ESAPI.jar 为我的 Web 应用程序提供安全性。基本上我刚刚开始使用 ESAPI.jar。但问题是我什至无法使用 ESAPI 运行一个简单的程序。小代码片段是：

我收到此错误：

我尝试在我的源文件夹中复制 3 个 ESAPI 属性文件，并在构建路径上配置它们，但我仍然没有成功。我尝试了许多排列和组合都无济于事。

请指导我。

属性文件的内容是：

当我尝试做时出现上述错误

所以我猜我还没有为 esapi 做一些设置步骤.. 但我不确定是什么..

我是一名 Java 开发人员，正朝着通往 App Security 的道路前进，我偶然发现了 OWASP 组织及其配套的 Java API，ESAPI。

在几个月前我在这个网站上提出的另一个问题中，有人向我指出 ESAPI 是开源应用程序安全行业的主要参与者。

我现在想知道的是，我确信 ESAPI 在javax.security.auth身份验证/授权领域以及其他领域可能与内置 Java 安全模型（植根于 ）重叠。但是，如果严格遵守 Java 安全 API，是否存在 ESAPI 明确解决的应用程序安全领域无法实现的问题？

基本上，我问的是，如果一些现有的 Java API 已经涵盖了 ESAPI 的所有优点/特性，那么学习 ESAPI 是否有意义。提前致谢！

我们目前正在为 OWASP 开发一个开源项目，创建企业安全控制的 C++ API。

已经为 Java EE 定义了企业安全 API (ESAPI)。我们很清楚 C++ 语言对安全控制的要求可能会有所不同。毫无疑问，一些最大的安全问题源于内存管理，我们目前没有提供解决方案。到目前为止，我们专注于从 ESAPI 2.0 for Java 规范中提取的几个项目。但是，我们对其中一些安全部分有一些特定的问题。主要是，Java ESAPI 对 Web 应用程序有很大的倾斜，我们知道这不是 C++ 的规范。因此，我们正在寻找通用安全控制可能对 C++ 社区有所帮助的其他领域。了解 C++ 开发人员通常面临哪些类型的安全问题会很有用。

我们正在尝试确定黑客如何攻击和破坏您的代码，以便我们可以帮助提供适当的安全控制来防止它。

为了汇总对这个项目的反馈，我们创建了一个谷歌调查；但是，请随时在此处留下您的反馈。 https://docs.google.com/spreadsheet/viewform?formkey=dE5feWtjYlBNU05lV1FxTGNLVExIMVE6MQ

提议的安全控制（取自 ESAPI 2.0 for Java）：

• 身份验证 - 生成和处理确凿的帐户凭据和会话标识符的方法。
• 用户 - 表示应用程序用户或用户帐户。
• 访问控制 - 可以在各种应用程序中用于强制访问控制的方法。
• 验证 - 规范化和验证不受信任的输入的方法。
• 编码 - 解码输入和编码输出，以便对各种解释器都是安全的。
• 执行 - 用于运行具有降低安全风险的操作系统命令。
• 加密 - 通用加密、加密随机数和字符串、散列操作和签名。加密功能将建立在 Wei Dai 的 C++ Crypto++ 库之上。但是，我们的目的是提供足够简单的加密功能，以供普通开发人员使用，除了一些基本术语外，无需任何特定的密码学知识。
• 记录 - 设计用于记录安全事件的方法。

你会考虑使用这个 API 吗？

这会给您的发展/业务带来好处吗？

有什么建议吗？

您可以提供的有关此项目的任何其他信息对我们很有用。如果上面列表中缺少某些有用的特定内容，或者您​​可能有一般性建议，那就太好了。上面列表中是否有您建议我们忽略的东西，因为您绝对不会使用它？如果是这样，那么也告诉我们这些事情。

感谢您对此给予关注。我们希望为 C++ 创建一个 ESAPI 将使开发人员更容易编写更安全的应用程序。

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://code.google.com/p/owasp-esapi-cplusplus/

我目前正在使用 Owasp ESAPI 来管理我的 java Web 应用程序中的身份验证，并且我正在使用 guice.injectMembers(this) 注入 Singleton MyAuthenticator。我想摆脱这种方法并使用 guice 创建的 Singleton-Scoped 对象。我喜欢 ESAPI 单例的线程安全性，以及一般的单例的安全性，使用双重检查锁定、IODH Idiom 或 Bloch 的 Enum INSTANCE 样式。

我需要对我的 Guicified Singleton-Scoped Authenticator 做些什么以使其成为线程安全的，以及我用来获取和设置当前用户的 ThreadLocal 字段？

我想让整个应用程序与依赖注入一起工作，但不希望它在 web 应用程序并发访问时中断。有什么建议或常见的陷阱吗？

我使用的 ThreadLocal 对象如下所示：

我有一个小型 JavaEE 项目，我必须使用 OWASP ESAPI 保护它

我在 Maven 中集成了这样的 ESAPI：

所以在此之后我可以使用 ESAPI 类进行编程。

我还在.esapi服务器启动中包含了该文件夹：

我也复制了ESAPI.properties和validation.properties

（我不确定它是否有效，但在启动服务器时我没有收到错误）

我查看了ESAPI 安装指南（pdf）（文档真的很糟糕）并复制了示例

“要测试 ESAPI 是否已成功集成和配置，请创建一个名为 EsapiIntegrationTest.java 的文件并粘贴：”

“如果您可以运行此文件并看到 println 输出，则说明 ESAPI 已成功安装和配置！您现在可以开始使用 ESAPI 功能来保护您的 Web 应用程序了！”

我为我的例子“翻译”了它：

我有一个文件test.xhtml：

输入时test.xhtml我得到这个非常长的错误（对于更好的少数人，你也可以在pastebin中看到它）

我知道ESAPI Swingset Demo - 这是在我的配置中运行

我有 2 个问题：
我的 Maven 和我的服务器启动配置正确吗？
因为错误看起来像 ESAPI 找不到 ESAPI Logger 函数....

甚至可以在我的设置中使用简单的测试代码片段吗？

（ps 也尝试在没有 maven 的情况下使用它，只包含下载的 jar - 但它不起作用）

我想念类似的东西：（
这是来自 swingset 演示示例，而不是来自我自己的项目）

希望有人可以提供帮助！

我已经遇到了 esapi 的问题，但最后它起作用了......

我将 OWASP ESAPI 包含在我的pom.xml喜欢中

如果我运行此功能：

ESAPI 编码器完美运行...

但是如果我尝试使用 HASH 函数，

我得到了这个结果

但正如您所看到的，ESAPI 是我的依赖项，但找不到 JavaEncryptor....

搜索结果并没有真正的帮助......

有人知道这个问题吗？（或者无论如何可以提供帮助？）谢谢！

在使用 OWASP 的 ESAPI 时，我发现自己被困在了这行代码中。

代码返回 null，因为我的计算机上没有设置这样的系统属性“org.owasp.esapi.resources”。有没有办法在我的电脑上永久设置这个属性？