问题标签 [owasp]

我们之前将 htmlpurifier 集成到了基于 LAMP 的产品中，但速度有点慢。最近，我们开启了 mod_security。这两个都是 OWASP 项目的一部分（最后我检查了 owasp 在内部使用了 htmlpurifer），所以我认为安全性是多余的。

你有什么建议？关闭 htmpurifier 是一个可行的选择吗？感谢您的任何回答。

我计划在公共 Web 上的 Amazon 上的 JBoss 6 上部署一个 EAR 应用程序。我将需要多个实例，但我不需要集群，ELB 可以在我的情况下完成它的工作。在应用程序的开发过程中已经考虑了 OWASP 安全指南。但是，我对 OWASP 的一个原则有疑问：默默无闻的安全性。

如何隐藏我正在使用 JBoss 的事实？我有自定义错误页面，ELB 只允许访问我的应用程序的上下文路径，但是，如果 JBoss 显示任何特定于 JBoss 的标头，我会担心。在每个实例中使用 mod_jk 或 mod_proxy_ajp 将 Apache 放在 JBoss 前面是否更安全，只是为了转发请求（如果不必要，这是我想避免的事情）？

问候

OWASP 的好人强调，您必须对要放入不受信任数据的 HTML 文档部分（正文、属性、JavaScript、CSS 或 URL）使用转义语法。请参阅OWASP-XSS。他们的 API（由 ESAPI 团队开发）随后为每个上下文提供了编码器：

ESAPI.encoder().encodeForHTML("input"); ESAPI.encoder().encodeForHTMLAttribute("input"); ESAPI.encoder().encodeForJavaScript("input"); ESAPI.encoder().encodeForCSS("input"); ESAPI.encoder().encodeForURL("input");

随后，这允许开发人员迎合基于DOM 的 XSS。

所以我的问题是 GWT 的 safehtml 包是如何解决这个问题的，还是仅仅关注 HTML 编码？

我正在寻找可能的解决方案来保护我的 GWT 应用程序免受 XSRF 的影响。

如果我正确理解GWT 的解决方案- 它提供了一个 Servlet，您可以使用该 Servlet 在客户端（调用 RPC 端点时）生成令牌并在服务器端验证（当调用到达您的服务时）。

这个解决方案是否只满足 RPC 调用？当然，我们需要它来覆盖所有用户生成的对服务器的请求吗？

任何其他推荐的 XSRF 解决方案（我也在看OWASP 的 CSRFGuard）？

我正在考虑将Play用于大型项目，那么，有没有人为 OWASP Top 10 提供实战测试的 Play 框架？您知道 Play 框架中有哪些安全问题吗？

我们目前有一个 J2EE 系统实现了 OWASP 前 10 项安全措施中的大部分，该应用程序目前允许用户使用存储在数据库中的用户/密码组合登录。

我有一个映射到的 java 过滤器/*来检查会话和会话属性的存在以确定用户的登录状态。

好的，最后问题来了：我们正在与一家制造设备的公司集成，当某个事件发生时通过 GPRS 发送 URL 请求，这个 URL 是我们系统的链接。

我会（在不影响安全性的情况下）想验证这个“设备”，不可能向设备发送任何信息，因此需要验证单个请求，没有人应该能够“重播”该 URL

如果没有某种相互身份验证，我不知道这是否可能。我考虑过要检查的 IP 地址白名单，但网络不断更改 IP，设备仍然“身份不明”。请建议任何想法？

PS：我的临时解决方案是在我的过滤器中添加一个例外，但这不是长期的并且完全不安全。（SSL 也不是一个选项）

Java中是否存在自动化安全测试之类的东西？如果是这样，它是如何实施的？仅仅是为了尝试利用已知的服务器漏洞而编写的 JUnit 测试，还是它们以安全为中心的测试框架？

作为一个例子，我也对这个 OWASP 安全测试框架感兴趣，但无法判断他们是在经典意义上使用“框架”（意味着要遵循的一组指导方针和程序），还是在软件上下文中（他们实际上是在提供自动化的安全测试组件）。

感谢任何可以为我阐明这一点的人！

我正在客户端使用著名的 wmd-javascript 编辑器 PageDown 的重新实现（也用于 Stackoverflow）。

现在，我正在为我的服务器（运行 tomcat7）搜索一个 HTML sanitizer，它应该只过滤 PageDown 编辑器可以创建的 HTML 子集。

我的第一选择是 OWASP 项目，但我没有找到 PageDown 的 xml 规则文件——tinymce 的规则文件过于严格，因为它不包括例如“img”标签。

建立我自己的一套规则不仅很痛苦，而且给我带来了安全问题。出于这个原因，我想问是否有 Java 类或 OWASP 规则或其他东西也已经过测试。

帮助将不胜感激！

提前谢谢，托马斯

The question is simple: when should I call the reset() function on the java class MessageDigest?

The question mainly comes from the OWASP reference, where in a code sample, they do:

then, in a loop, they do:

Now, to me, it looks as if the reset is only required once the digest instance has already been 'polluted' with calls to update. The one in the first sample, therefore, does not seem necessary. If it is necessary, is it an indication that the instance returned by MessageDigest.getInstance is not thread safe?

• OWASP hashing recommendation
• Random article on hashing, does not contain initial reset

我对 Java 的安全模型几乎一无所知，包括 XML 配置、策略设置、任何安全框架组件、工具（例如密钥库等）以及介于两者之间的所有内容。

尽管我知道卷起袖子深入学习 Java 安全性最终对我来说是必不可少的，但我想知道使用 Apache Shiro 之类的东西是否有助于简化过渡。因此，我对此有一些担忧。

Shiro 本质上是一个“交钥匙、包罗万象的包装器”，用于在 Java 应用程序（尤其是 Web 应用程序）中实现安全性。意思是，一个人可以用他们的项目配置 Shiro 并从本质上调整它来完成所有相同的配置、策略设置等，如果没有它，一个人必须“手动”（零碎地）做吗？如果没有，Shiro 有什么缺点（Shiro 不能为我做的一些重要的事情是什么）？有没有 Shiro 根本没有解决的大漏洞？

同样，我听说过关于 OWASP 的 ESAPI 框架的好消息。有人有这两个方面的经验吗？ESAPI 和 Shiro 是否可以配置为一起工作，或者它只是二进制“一个或另一个”类型的交易？

提前致谢！