问题标签 [owasp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
html-entities - 如何不使用 owasp antisamy 将特殊字符转换为 html 实体
我使用带有 Ebay 策略文件的 Owasp Anti samy 来防止对我的网站进行 XSS 攻击。
我还使用 Hibernate 搜索来索引我的对象。
当我使用此代码时:
如您所见,所有字符“é”都已转换为等效的 html 实体“ é”
我的页面是 UTF-8,所以我不需要这种转换。此外,当我使用 Hibernate Search 对该文本进行索引时,它会使用 html 实体对单词进行索引,因此我在索引中找不到单词“été”。
如何强制 antisamy 不将特殊字符转换为等效的 html 实体?
谢谢
PS:一个问题已被打开:http ://code.google.com/p/owaspantisamy/issues/detail?id=99
java - AntiSamy 是否允许通过编码的脚本警报?如何阻止?
我将 AntiSamy 与可用的 antisamy-1.4.1.xml 策略一起使用。该策略可以很好地阻止大多数 XSS 攻击,但以下内容并未被阻止。有关如何阻止以下内容以防止 XSS 攻击的任何建议?
谢谢
html - 为什么要打开重定向 URL?
我一直在浏览 OWASP 前 10 名,以更深入地了解每种特定类型的漏洞。我已经完成了最后一项,未经验证的 URL 重定向。我理解攻击;既然我已经在 OWASP 中读到过这样的网络钓鱼计划,那么这种网络钓鱼计划似乎完全显而易见。我正在努力理解的是为什么这种重定向方式首先会发生。
将重定向 URL 作为参数包含在 URL 中一定有一些优势
IEexample.com/go.php?url=newpage.php
而不是使用许多其他可能的重定向方案。就算url参数是动态生成的,难道还不能通过POST发送来防止恶意URL的创建吗?为什么谷歌允许任何人发送“我感觉很幸运”这样的重定向网址,这个网址会转到 Stack Overflow?
owasp - OWASP 到底是什么?
开放 Web 应用程序安全项目
促进安全软件开发 以提供面向 Web 的服务为导向 主要关注“后端”而不是 Web 设计问题 一个开放的讨论论坛 任何开发团队的免费资源
它是什么?操作系统还是软件?
sql - 当用户输入带有特殊字符的密码时,如何防止“DROP BOBBY TABLES”?
在我们古老的 Classic ASP 环境中,我们利用 OWASP 从请求对象中获取密码并对非字母数字字符进行加密。这是防止sql注入的第一道防线。我们使用其他方法来预防完整的 sql 注入。
问题是,当我们收集数据以组合 HTTP 发布消息并从用户输入中获取密码时,OWASP 将其发送出去。因此密码不正确。
示例:密码 freddie$cougar 变为 freddie&36;cougar
我们最终做的是假设一个 50 个字符的文本字段没有足够的空间来进行大量的 sql 注入并更改了代码,所以我们没有 OWASP 输入密码。这感觉有点吓人。
他们是更好的方法吗?
代码是用 vbScript 编写的。
java - 实现 OWASP 后,应用程序可以在 IE 和 Firefox 中运行,但不能在 Safari 中运行
最近我们使用 OWASP.jar 实现了 OWASP 安全解决方案。在此之后,我们的应用程序在 IE 7 和 Firefox 3.5 中运行良好。但该应用程序无法在 Safari 4.0.5 或 5.0 中运行。
控制台显示此消息:
“检测到可能的 CSRF 威胁!重定向到登录页面..”
我无法登录应用程序。甚至请求本身也没有接受。如果您有任何想法,请向我提出建议。我需要对 Safari 浏览器的设置做些什么吗?
我们正在使用 Java 进行开发。
asp.net - ESAPI.NET 是一个死项目吗?
我最近的任务是领导一项改进我们的输入(和输出)验证的工作,同时考虑到 OWASP 建议和 PCI 合规性。在此过程中,我试图评估 ESAPI.NET 项目的价值,该项目自 09 年春季以来似乎没有任何活动,而且目前尚不完整。
有人有使用或扩展 ESAPI.NET v0.2 的经验吗?现在是构建基础设施以解决目标漏洞的良好起点吗?
仅供参考:我正在研究 MS AntiXSS,当然,它只解决了 ESAPI 范围的一部分。我们已经在 SQL 注入方面做得很好,尽管我们需要做一些改进。
(如果有人想创建 ESAPI 标签,请随意。我没有魔力。)
security - 不安全的直接对象引用和搜索引擎
根据OWASP Top 10 List,防止不安全的直接对象引用的一种方法是仅提供间接引用。这些是映射到服务器上的直接(例如 DB)引用的人工引用。映射存储在会话中。
不幸的是,这个解决方案对搜索引擎不是很友好。爬虫存储的链接将在另一个会话中无效。
有没有办法解决这个问题?除了映射引用或检查对象访问之外,还有其他解决方案吗?
security - 使用 ESAPI 库进行 XSS 预防的问题
我正在尝试在我的网站中防止 XSS 攻击,因为我正在使用 OWASP ESAPI 库。我在类路径中为这个库添加了 jar,我收到以下错误。
尝试通过文件 io 加载 ESAPI.properties。
尝试通过文件 io 加载 ESAPI.properties。
在“org.owasp.esapi.resources”目录中找不到或文件不可读:F:\eclipse\ESAPI.properties
在 SystemResource 目录/resourceDirectory 中找不到:.esapi\ESAPI.properties
在“user.home”目录中找不到: C:\Users\juzer.esapi\
ESAPI.properties 通过文件 io 加载 ESAPI.properties 失败。
尝试通过类路径加载 ESAPI.properties。
ESAPI.properties 无法以任何方式加载。失败。
谢谢
struts - 提交多部分表单数据时缺少 OWASP CsrfGuard 令牌
我已经在现有的 Struts 1.1 应用程序上实现了 OWASP CsrfGuard 3 过滤器,它对每个请求都可以正常工作,除了具有文件上传字段和 enctype="multipart/form-data" 的表单。控制台上记录了以下消息“错误:请求中缺少必需的令牌”。
csrf 令牌作为隐藏字段添加到表单上,当我在浏览器中查看页面源时出现。
如果我从表单中删除文件字段并从 html:Form 标记中删除 enctype 属性,则表单工作正常。
请让我知道如何使用 CsrfGuard 配置多部分文件上传。
谢谢,