问题标签 [esapi]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - ESAPI.NET 是一个死项目吗?
我最近的任务是领导一项改进我们的输入(和输出)验证的工作,同时考虑到 OWASP 建议和 PCI 合规性。在此过程中,我试图评估 ESAPI.NET 项目的价值,该项目自 09 年春季以来似乎没有任何活动,而且目前尚不完整。
有人有使用或扩展 ESAPI.NET v0.2 的经验吗?现在是构建基础设施以解决目标漏洞的良好起点吗?
仅供参考:我正在研究 MS AntiXSS,当然,它只解决了 ESAPI 范围的一部分。我们已经在 SQL 注入方面做得很好,尽管我们需要做一些改进。
(如果有人想创建 ESAPI 标签,请随意。我没有魔力。)
java - OSWAP ESAPI 中用于会话管理的任何 java 代码示例?
ESAPI for Java 中提供的文档不完整。有没有人可以分享用于会话管理的操作代码示例?
PS:其他代码示例解释从何处以及如何开始使用 ESAPI 也将受到欢迎。谢谢。
java - 尝试使用 ESAPI 但出现错误
我正在尝试使用 ESAPI.jar 为我的 Web 应用程序提供安全性。基本上我刚刚开始使用 ESAPI.jar。但问题是我什至无法使用 ESAPI 运行一个简单的程序。小代码片段是:
我收到此错误:
我尝试在我的源文件夹中复制 3 个 ESAPI 属性文件,并在构建路径上配置它们,但我仍然没有成功。我尝试了许多排列和组合都无济于事。
请指导我。
属性文件的内容是:
java - 将 esapi 与 CF8 和 JavaLoader 一起使用时出错
当我尝试做时出现上述错误
所以我猜我还没有为 esapi 做一些设置步骤.. 但我不确定是什么..
java - Java 安全与 ESAPI
我是一名 Java 开发人员,正朝着通往 App Security 的道路前进,我偶然发现了 OWASP 组织及其配套的 Java API,ESAPI。
在几个月前我在这个网站上提出的另一个问题中,有人向我指出 ESAPI 是开源应用程序安全行业的主要参与者。
我现在想知道的是,我确信 ESAPI 在javax.security.auth
身份验证/授权领域以及其他领域可能与内置 Java 安全模型(植根于 )重叠。但是,如果严格遵守 Java 安全 API,是否存在 ESAPI 明确解决的应用程序安全领域无法实现的问题?
基本上,我问的是,如果一些现有的 Java API 已经涵盖了 ESAPI 的所有优点/特性,那么学习 ESAPI 是否有意义。提前致谢!
c++ - C++ 企业安全 API
我们目前正在为 OWASP 开发一个开源项目,创建企业安全控制的 C++ API。
已经为 Java EE 定义了企业安全 API (ESAPI)。我们很清楚 C++ 语言对安全控制的要求可能会有所不同。毫无疑问,一些最大的安全问题源于内存管理,我们目前没有提供解决方案。到目前为止,我们专注于从 ESAPI 2.0 for Java 规范中提取的几个项目。但是,我们对其中一些安全部分有一些特定的问题。主要是,Java ESAPI 对 Web 应用程序有很大的倾斜,我们知道这不是 C++ 的规范。因此,我们正在寻找通用安全控制可能对 C++ 社区有所帮助的其他领域。了解 C++ 开发人员通常面临哪些类型的安全问题会很有用。
我们正在尝试确定黑客如何攻击和破坏您的代码,以便我们可以帮助提供适当的安全控制来防止它。
为了汇总对这个项目的反馈,我们创建了一个谷歌调查;但是,请随时在此处留下您的反馈。 https://docs.google.com/spreadsheet/viewform?formkey=dE5feWtjYlBNU05lV1FxTGNLVExIMVE6MQ
提议的安全控制(取自 ESAPI 2.0 for Java):
- 身份验证 - 生成和处理确凿的帐户凭据和会话标识符的方法。
- 用户 - 表示应用程序用户或用户帐户。
- 访问控制 - 可以在各种应用程序中用于强制访问控制的方法。
- 验证 - 规范化和验证不受信任的输入的方法。
- 编码 - 解码输入和编码输出,以便对各种解释器都是安全的。
- 执行 - 用于运行具有降低安全风险的操作系统命令。
- 加密 - 通用加密、加密随机数和字符串、散列操作和签名。加密功能将建立在 Wei Dai 的 C++ Crypto++ 库之上。但是,我们的目的是提供足够简单的加密功能,以供普通开发人员使用,除了一些基本术语外,无需任何特定的密码学知识。
- 记录 - 设计用于记录安全事件的方法。
你会考虑使用这个 API 吗?
这会给您的发展/业务带来好处吗?
有什么建议吗?
您可以提供的有关此项目的任何其他信息对我们很有用。如果上面列表中缺少某些有用的特定内容,或者您可能有一般性建议,那就太好了。上面列表中是否有您建议我们忽略的东西,因为您绝对不会使用它?如果是这样,那么也告诉我们这些事情。
感谢您对此给予关注。我们希望为 C++ 创建一个 ESAPI 将使开发人员更容易编写更安全的应用程序。
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://code.google.com/p/owasp-esapi-cplusplus/
java - 如何使单例范围对象线程安全(Guice + Owasp ESAPI)
我目前正在使用 Owasp ESAPI 来管理我的 java Web 应用程序中的身份验证,并且我正在使用 guice.injectMembers(this) 注入 Singleton MyAuthenticator。我想摆脱这种方法并使用 guice 创建的 Singleton-Scoped 对象。我喜欢 ESAPI 单例的线程安全性,以及一般的单例的安全性,使用双重检查锁定、IODH Idiom 或 Bloch 的 Enum INSTANCE 样式。
我需要对我的 Guicified Singleton-Scoped Authenticator 做些什么以使其成为线程安全的,以及我用来获取和设置当前用户的 ThreadLocal 字段?
我想让整个应用程序与依赖注入一起工作,但不希望它在 web 应用程序并发访问时中断。有什么建议或常见的陷阱吗?
我使用的 ThreadLocal 对象如下所示:
security - Maven Java EE 项目中的 OWASP ESAPI simpleTest
我有一个小型 JavaEE 项目,我必须使用 OWASP ESAPI 保护它
我在 Maven 中集成了这样的 ESAPI:
所以在此之后我可以使用 ESAPI 类进行编程。
我还在.esapi
服务器启动中包含了该文件夹:
我也复制了ESAPI.properties
和validation.properties
(我不确定它是否有效,但在启动服务器时我没有收到错误)
我查看了ESAPI 安装指南(pdf)(文档真的很糟糕)并复制了示例
“要测试 ESAPI 是否已成功集成和配置,请创建一个名为 EsapiIntegrationTest.java 的文件并粘贴:”
“如果您可以运行此文件并看到 println 输出,则说明 ESAPI 已成功安装和配置!您现在可以开始使用 ESAPI 功能来保护您的 Web 应用程序了!”
我为我的例子“翻译”了它:
我有一个文件test.xhtml
:
输入时test.xhtml
我得到这个非常长的错误(对于更好的少数人,你也可以在pastebin中看到它)
我知道ESAPI Swingset Demo - 这是在我的配置中运行
我有 2 个问题:
我的 Maven 和我的服务器启动配置正确吗?
因为错误看起来像 ESAPI 找不到 ESAPI Logger 函数....
甚至可以在我的设置中使用简单的测试代码片段吗?
(ps 也尝试在没有 maven 的情况下使用它,只包含下载的 jar - 但它不起作用)
我想念类似的东西:(
这是来自 swingset 演示示例,而不是来自我自己的项目)
希望有人可以提供帮助!
maven - OWASP ESAPI - JavaEncryptor 无法找到/不在类路径中 - 但 ESAPI 正在其他功能中工作
我已经遇到了 esapi 的问题,但最后它起作用了......
我将 OWASP ESAPI 包含在我的pom.xml
喜欢中
如果我运行此功能:
ESAPI 编码器完美运行...
但是如果我尝试使用 HASH 函数,
我得到了这个结果
但正如您所看到的,ESAPI 是我的依赖项,但找不到 JavaEncryptor....
搜索结果并没有真正的帮助......
有人知道这个问题吗?(或者无论如何可以提供帮助?)谢谢!
java - 为 ESAPI 设置资源目录
在使用 OWASP 的 ESAPI 时,我发现自己被困在了这行代码中。
代码返回 null,因为我的计算机上没有设置这样的系统属性“org.owasp.esapi.resources”。有没有办法在我的电脑上永久设置这个属性?