问题标签 [owasp]

我需要接受简历内容作为文本并处理内容。在处理之前，我想使用ESAPI.validator().isValidInput来验证简历内容以确认它不包含恶意代码。的参数之一isValidInput是要针对输入进行验证的正则表达式。请帮我为简历内容写一个正则表达式。

自 2010 年以来，OWASP 前 10 名项目是否没有更新？

在 OWASP 上查看了以下站点后，我可以看到可能是这种情况：https ://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

我的公司非常重视 OWASP 合规性，所以我只想确保我是最新的？

我有兴趣学习安全编码最佳实践（特别是针对 Java 应用程序），并且我正在阅读 OWASP 的安全编码实践清单。在他们的内存管理部分，他们声明如下：

避免使用已知的易受攻击的函数（例如，printf、strcat、strcpy等）。

我不是 C/C++ 开发人员，但这一定意味着上述函数存在安全漏洞。我对易受攻击的 Java 方法进行了几次搜索，结果就是这个CVE。

哪些 Java SE/EE 方法（如果有）适用于 OWASP 的此公告？

我正在尝试将 OWASP 与一些经典 ASP 应用程序一起使用，但没有找到太多关于如何操作的信息，比如一步一步的。

该网站被视为启动点：https ://www.owasp.org/index.php/Classic_ASP_Security_Project但有人有视频，或一步一步？

真的很感谢。

我一直在尝试评估 OWASP ESAPI 库，但是在让它正确初始化时遇到了问题。我为 ESAPI.properties 和 validation.properties 设置了一个资源文件夹，它们是从类路径加载的，没有问题。但是 antisamy-esapi.xml 文件不是从类路径加载的，我发现 2010 年的一个错误提到了这一点。我得到的错误是：

尝试通过文件 I/O 将 antisamy-esapi.xml 作为资源文件加载。在“org.owasp.esapi.resources”目录中找不到或文件不可读：C:\Users\mydir\resin-pro-4.0.27\antisamy-esapi.xml 在 SystemResource 目录/resourceDirectory 中找不到：.esapi\antisamy -esapi.xml 在 'user.home' (C:\Users\mydir) 目录中找不到：C:\Users\mydir\esapi\antisamy-esapi.xml

我正在使用此库将应用程序部署到树脂。我已经尝试将 xml 文件手动放置在上面的所有位置中，最终唯一有效的是我的主目录，这对于生产部署来说效果不佳。

我还遵循了在其他地方找到的建议，该建议说设置 -Dorg.owasp.esapi.resources 属性。这也不起作用，但更有趣的是，错误并没有改变，这让我认为该设置由于某种原因没有被选中。

关于该文件需要在我的项目中的位置的任何指针，以便在部署到容器后正确加载？

提前致谢。

更新：

因此，通过挖掘代码，似乎有专门的函数用于加载 ESAPI.properties，这就是为什么该文件能够从部署到容器的标准资源（或任何其他 src 目录）目录加载的原因。然而，antisamy-esapi.xml 的加载函数只是检查 user.home 下的特定目录、配置的自定义目录或通过 ClassLoader.getSystemResource() 的结果。不知道为什么这些例程是分开的。在搞砸了几个小时后，我失去了耐心并复制了 DefaultSecurityConfiguration.java 并更正了 getResourceFile() 方法以使用与 loadConfigurationFromClasspath() 相同的查找代码。然后我用这个类调用 ESAPI.override() ，它现在似乎工作正常。

有这样的查询：

select * from tablename where username='value1' and password='value2';

如果我设置以下字段：

然后我以管理员身份登录网站。

现在，如果我想 SQL 注入我的查询，我将在用户名字段中输入 value
'or 1=1，之后查询将执行如下：

select * from tablename where username ='' or 1=1

假设在此之后的所有内容都成功执行了查询。

我的问题是基于上面的例子，我们将以什么用户身份登录？

作为：
   1. 管理员
   2. 还是表中的第一行？
   3.或任何其他用户以及如何？

我正在使用 OWASP Html Sanitizer 来防止对我的 Web 应用程序的 XSS 攻击。对于许多应该是纯文本的字段，Sanitizer 的作用超出了我的预期。

例如：

当我有诸如电子邮件地址之类的字段+时，例如foo+bar@gmail.com我最终在数据库中得到了错误的数据。所以两个问题：

1. 诸如+ - @危险的字符本身是否真的需要编码？
2. 如何配置 OWASP html sanitizer 以允许特定字符，例如 + - @？

问题 2 对我来说是更重要的一个答案。

我正在尝试使用ESAPI.override()覆盖 ESAPI OWASP 库中的现有方法。不知怎的，它不起作用，你知道为什么吗？

这是我的代码：

为了避免用户登录后的会话劫持，我可以在登录过程中依靠哪些信息来验证确实是合法用户。这样拦截会话中继的人就会失效

他们的 IP 地址和浏览器信息是否足够好？

我记得读过直接在服务器上编辑文件是不好的安全做法，因为它可能会创建隐藏的临时文件。是否可以搜索这些文件？我在考虑 find / -name .*，但它返回“路径必须在表达式之前：..”并且不知道这是否包括所有可能由 elvis 或 nano 创建的文件。