Описание тега esapi
The Enterprise Security API (ESAPI) is a library developed by the Open Web Application Security Project (OWASP). It is available for numerous languages with the aim of providing web security related features missing in those languages (and its internal APIs) itself.
3
ответа
Проверка ввода текста в веб-формах с помощью esapi
Как я могу использовать ESAPI для проверки небезопасных вводимых текстов в веб-формах? Мое приложение построено с использованием Struts 1.X, поэтому я предполагаю, что проверки должны быть добавлены в классы Actions. Какие образцы / учебники вы реко…
25 июл '12 в 21:59
1
ответ
Как я могу проверить хэш-карту с помощью esapi?
Для этого кода: HashMap temphashMap = session.getAttribute("abc"); Как я могу проверить хэш-карту на предмет уязвимости межсайтового скриптинга с помощью ESAPI?
02 фев '16 в 09:07
3
ответа
Устранение уязвимости межсайтового скриптинга в Java с использованием OWASP
Я работаю над устранением проблем межсайтового скриптинга в java. Так как я новичок в OWASP, кто-нибудь может помочь мне разобраться, как использовать OWASP в следующих случаях для очистки входных данных. Enumeration<String> EnumHeader = reque…
24 авг '17 в 18:25
0
ответов
CSS и JS Не удалось загрузить с фильтром безопасности esapi во время обновления
В моем проекте мы используем фильтр безопасности esapi. Проблема в том, что при обновлении браузера мы получаем следующую ошибку в Firefox. Если мы обновляем страницу снова, страница загружается правильно. Но в другое время она не работает. Ресурс и…
13 окт '17 в 07:53
1
ответ
Сканирование Veracode по-прежнему помечает проблемы XSS даже после использования ESAPI XSS Filter, определенного в web.xml
Создал XSS-фильтр с помощью ESAPI Refer ( https://dzone.com/articles/stronger-anti-cross-site) и определил его в web.xml. Сканировал файл ear с помощью Veracode. Veracode по-прежнему отмечает те же проблемы, что и проблемы XSS. Не принимает ли Verac…
01 фев '18 в 07:05
1
ответ
Кодек Sybase для OSWAP ESAPI
Я использую базу данных Sybase. Если я хочу использовать OWASP ESAPI для предотвращения SQL-инъекций Какой кодек я должен использовать? OracleCodec? MySQLCodec? DB2Codec? https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/org/owasp/esapi/codecs/p…
20 мар '18 в 03:41
2
ответа
Операторы Js выполняются до загрузки внешних JS
Я использую esapi для выходной кодировки. Но это работает странно. Код <html> <head> <title> AC </title> </head> <body> <style type="text/css"> .ac-container { font-family: Verdana,Arial,Helvetica,sans-serif…
26 сен '14 в 12:15
3
ответа
Безопасность Java против ESAPI
Я - разработчик Java, идущий по пути, ведущему к безопасности приложений, и я наткнулся на организацию OWASP и ее сопутствующий Java API, ESAPI. В другом вопросе, который я задавал на этом сайте несколько месяцев назад, мне было указано, что ESAPI я…
11 янв '12 в 18:34
2
ответа
Является ли веб-страница без текстовых полей и текстовых областей невосприимчивой к XSS?
Если веб-страница содержит выпадающие списки, переключатели, флажки и т. Д. Для ввода данных пользователем, избегайте текстовых полей и текстовой области, чтобы избежать ненадежных данных (вредоносный JavaScript-код, введенный пользователем). Являет…
16 дек '14 в 15:43
2
ответа
Как проверить имя файла в JAVA для разрешения CWE ID 73(внешний контроль имени файла или пути) с помощью ESAPI?
Я сталкиваюсь с этим недостатком безопасности в моем проекте во многих местах. У меня нет никакого белого списка, чтобы сделать проверку в каждом случае этого недостатка. Я хочу использовать вызов ESAPI, чтобы выполнить базовую проверку черного спис…
02 дек '15 в 11:23
3
ответа
Создать правило в валидаторе ESAPI
Я начинаю работу с ESAPI, но у меня есть проблема. Я пытаюсь создать пример правила (Validator.Single=[AZ]$). Я проверяю, если строка имеет только заглавные буквы. Я помещаю Validator.Single = [AZ] $ в файл validator.properties, но когда я использую…
05 янв '14 в 19:09
1
ответ
Esapi и использование replaceAll для пустых строк
Я видел ссылку на использование String.replaceAll("",""); как некоторые средства для удаления "пустых" или "непечатаемых символов" из строки в Java. Это неверно, поскольку ответ продемонстрирует. value = value.replaceAll("", "");
10 май '14 в 23:50
1
ответ
OWASP TOP 10 - 4. Небезопасные прямые ссылки на объекты - другой путь, чем ESAPI в JSF 1.2 + JAVA + SEAM
Что-нибудь уже интегрировано в JSF 1.2 или SEAM 2.2.2 для предотвращения прямых ссылок на объекты A4-Insecure Я знаю функции ESAPI для этого, но я не хочу включать в свой проект другую инфраструктуру, если в этом нет необходимости, есть ли что-то вс…
28 ноя '12 в 13:55
1
ответ
Тестовый негативный сценарий ESAPI.validator(). IsValidFileContent()
Мне нужно протестировать негативный сценарий API owasps ESAPI.validator(). IsValidFileContent() Я попытался передать байты файлов.exe и.ini, где, как и во время теста, т. е. тип возвращаемого значения был истинным, что означало допустимое содержимое…
22 июн '12 в 06:50
3
ответа
Как исправить уязвимость разделения HTTP-ответов с помощью ESAPI
После недавнего запуска findbugs (FB) он жалуется на: Безопасность - уязвимость расщепления ответов HTTP Следующий код вызывает это: String referrer = req.getParameter("referrer"); if (referrer != null) { launchURL += "&referrer="+(referrer); } …
08 май '13 в 11:35
2
ответа
ESAPI Симметричное шифрование с использованием JavaEncryptor
Я тестирую базовые вещи в ESAPI, и я наткнулся на это учебное пособие по симметричному шифрованию, скопировал и вставил код (вместе с импортом jar-файла ESAPI 2.1.0, ESAPI.properties и validation.properties в каталог 'src' в Eclipse.) Модифицированн…
10 дек '15 в 18:27
1
ответ
Как защититься от xss при сохранении данных и при их отображении
Допустим, у меня есть простое приложение CRUD с формой для добавления нового объекта и редактирования существующего. С точки зрения безопасности я хочу защититься от межсайтовых скриптов. Во-первых, я бы подтвердил ввод представленных данных на серв…
20 фев '19 в 17:59
1
ответ
ESAPI не проходит проверку файла
Я работаю с ESAPI, чтобы попытаться проверить пути к каталогам Windows. По какой-то причине часть моего пути к каталогу с именем \14\ преобразуется в CRLF. Я получаю сообщение об ошибке ниже, что я не правильно понимаю? Я чувствую, что мое регулярно…
22 фев '19 в 22:58
1
ответ
Отфильтровывать закодированное содержание javascript из запроса
У меня проблема, когда я пытаюсь очистить содержимое запроса, чтобы удалить HTML и javascript, если они включены в параметры ввода. Это в основном для защиты от атак XSS, и идеальным механизмом будет проверка ввода и кодирование вывода, но из-за нек…
29 мар '16 в 14:26
1
ответ
Как JBOSS развернуть конфигурацию каталога файлов свойств ESAPI
Мы хотели бы настроить каталог файлов свойств ESAPI в JBOSS WildFly (что обычно делается с помощью аргумента VM: -Dorg.owasp.esapi.resources="/path/to/.esapi"), но мы предпочитаем делать это ДРУГИМ способом, для поддержки конфигурации свойств diffre…
30 сен '14 в 10:30