问题标签 [owasp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 使用 esapi 时出错
我正在尝试在我的项目中使用 OWASP ESAPI。但问题是owasp文档对我来说太复杂了。我正在尝试使用 esapi 的验证,但即使没有错误,我也无法获得结果。
如果我尝试运行 3 次,结果如下:
如您所见,没有错误并且属性已正确加载。我的问题是为什么它停在那里。为什么没有打印“连接 2”?为什么 instance.isValidInput 的结果也没有打印出来?
php - 在我的特定 PHP 应用程序中,我还能做些什么来对抗 XSS 漏洞?
我已经阅读了 OWASP 的 XSS预防备忘单,但我并没有真正认识到我的应用程序有这些规则。我不觉得我有这些规则中指出的任何漏洞。
我正在做一个遵循以下所有原则的 PHP 应用程序:
没有一个用户输入直接显示在 HTML 页面上,而无需在服务器端进行处理和清理
我所有的用户输入都用
htmlentities()
. 这足够了吗?(我使用准备好的语句进行 SQL 注入)一些用户输入
maxlength
在服务器端具有 5 个字符的条件。这是否有助于防止 XSS?(因为我几乎看不到 XSS 代码短于 6 个字符)除了来自数据库的数据之外,唯一显示给用户的用户输入是通过 ajax 发送到服务器的,使用而不是(使用 jQuery)进行清理
htmlentities
并重新引入 DOMtext()
html()
在我的情况下,我应该担心 XSS 吗?我还能做些什么来保护自己免受 XSS 攻击?
java - Java EE Web 应用防火墙
我正在寻找一个可以与我的 Java EE Web 应用程序 (WAR) 一起使用的基于规则的 Web 应用程序防火墙 (WAF)。到目前为止,我已经从 OWASP 和 ModSec(用于 Java)中发现了 Stinger。Stinger 较新,但不被认为是成熟的 WAF,我只是对 ModSecurity 持怀疑态度,因为它看起来很旧并且可能已经过时/停产(手册受版权保护 2001 - 2004)。
任何人都可以为 Java EE Web 应用程序推荐一个好的、免费的、开源的 WAF 吗?至少,我需要保护/过滤我的 HTTP/S 标头。提前致谢!
java - 来自 Web 服务的响应 XML 中的 XML 数据注入
我需要为 XML 数据注入修复下面的代码。
如何解决?有没有人有什么建议。
.net - WinForms 应用程序的常见漏洞
我不确定这是否是主题,但它是如此特定于 .NET WinForms,我相信它在这里比在 Security stackexchange 站点更有意义。
(此外,它与安全编码严格相关,我认为它与任何关于我在整个网站上看到的常见网站漏洞的问题一样重要。)
多年来,我们的团队一直在对网站项目进行威胁建模。我们模板的一部分包括OWASP前 10 名以及其他众所周知的漏洞,因此当我们进行威胁建模时,我们始终确保我们有一个记录在案的流程来解决这些常见漏洞中的每一个。
例子:
SQL 注入 (Owasp A-1)
- 标准实践
- 尽可能使用存储参数化过程来访问数据
- 如果存储过程不可行,请使用参数化查询。(使用我们无法修改的第 3 方数据库)
- 仅当上述选项不可行时才转义单引号
- 数据库权限必须按照最小权限原则设计
- 默认情况下,用户/组无权访问
- 在开发过程中,记录每个对象(表/视图/存储过程)所需的访问权限以及访问的业务需求。
- [剪辑]
无论如何,我们使用 OWASP Top 10 作为网站特定漏洞的起点。
(最后是问题)
在极少数情况下,当 Web 应用程序不能满足需求时,我们会开发 WinForms 或 Windows 服务应用程序。我想知道是否有 WinForms 应用程序的常见安全漏洞的等效列表。
在我的头顶上,我能想到一些......
- SQL 注入仍然是一个问题。
- CLR 通常可以防止缓冲区溢出,但如果将非托管代码与托管代码混合使用则更有可能
- .NET 代码可以反编译,因此将敏感信息存储在代码中,而不是在 app.config 中加密...
是否有这样一个列表,甚至是这样一个列表的多个版本,我们可以从中借用来创建我们自己的列表?如果是这样,我在哪里可以找到它?
我一直没能找到它,但如果有的话,这对我们以及其他 WinForms 开发人员都会有很大帮助。
java - 使用 owasp-java-html-sanitizer 提取链接
我计划使用 owasp-java-html-sanitizer 对用户生成的 html 执行一些任务。
我想从 html 字符串中提取 URL 列表。
我还想确保所有链接的目标都设置为“_blank”,这似乎与HtmlPolicyBuilder.requireRelNofollowOnLinks
配置相似。(完毕)
这增加target="_blank"
了链接,不确定它是完成它的最佳方式。
这也提取了 URL:
telerik - Telerik RadTabStrip + OWASP 安全异常
这里有一个加重的问题,任何帮助都会很棒。基本上,我们的一位客户加强了他们的安全性并实施了 OWASP (owasp.org)。现在,我们现有的一些网站功能在回发时返回了安全违规。我将主要问题之一缩小到 Telerik RadTabStrip。一旦包含 RadTabStrip 条带的页面回发,OWASP 就会返回安全违规。不幸的是,我们无法访问日志,并且客户端给了我们一些片段,但它们似乎与 SQL 注入相关,并且还与视图状态进行模式匹配。
然后我用一个 RadTabStrip 和 4 个 RadTab/RadPageViews 创建了一个空白页面,每个都包含一个字母和一个可以回传的按钮。单击按钮后,引发了安全违规。所以我有大约 99.99% 的肯定是,它返回的是 RadTab 发回的误报。然后我修改了我们现有的页面之一以实现 JQuery 选项卡而不是 RadTabs。这很成功,但问题是这将是一个有点冗长的大修,并且希望那里的人可能对我有一个想法。现在请注意,客户端拒绝在 OWASP 安全性中做出任何例外。
sql-injection - OWASP ZAP 工具未在 IE8 中跟踪
目前我正在从事渗透测试,特别是 SQL 注入,因为我正在使用 OWASP ZAP 工具,配置后我可以将我的 Web 应用程序跟踪到该 ZAP 工具中,但问题是我无法跟踪我的 Web我在 IE8 中运行的应用程序。实际上在手册中他们清楚地提到它将支持 IE8,但我不能。请就这方面给我一些建议。
提前致谢。凯萨瓦库玛五世
security - 显示输出不足以防止链接注入跨站点脚本吗?
我是处理跨站点脚本问题的新手。我们有一些 404 页面输出未找到的 URL,据我所知,javascript 可以被恶意替换。为了防止 XSS 攻击,简单地删除错误 URL 的输出就足够了吗?还是我仍然需要以某种方式根据白名单过滤输入,为此我正在查看 OWASP 库:https ://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
git - git hub 项目版本检索
我正在尝试处理 git hub 项目源代码:
https://github.com/esheri3/OWASP-CSRFGuard
然而,我正在使用的 jar 的清单看起来像这样:
我从该站点获得的最新 jar 的清单如下所示:
我想知道如何检索创建具有第一个清单编号的 jar 的整个代码库: 3.0.0.503 不是最新的源代码,而是过去的版本;这样我就可以根据需要在我的系统上构建和修改。
我认为颠覆要容易得多。请注意,我已经在我的系统上克隆了 git 项目。系统信息:Windows 7, 64 bit msysgit 1.7.10 git extensions installed
任何指针将不胜感激。