Есть ли альтернативы ESAPI?

Мы разделяем наши функции ведения журналов на отдельную библиотеку ведения журналов, которая будет использоваться в качестве JAR-файла ведения журнала для всех веб-приложений. В настоящее время мы используем ESAPI 2.1 для предотвращения подделки журналов. Мы также обновили нашу структуру ведения журналов до log4j 2 для поддержки асинхронного ведения журналов.

Из этого сообщения https://security.stackexchange.com/questions/170523/is-owasp-esapi-still-the-recommended-way-to-secure-jsp-pages я узнал, что ESAPI, похоже, устарел и больше не используется, есть ли лучшая альтернатива для создания безопасной библиотеки журналов?


java logging log4j2 esapi
person vishal sundararajan    schedule 09.10.2019    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Мертвый говоришь? О, правда ?

В любом случае, если вам нужны наши возможности ведения журналов, просто git clone https://github.com/ESAPI/esapi-java-legacy скопируйте код, который вам нравится, соблюдая нашу лицензию FreeBSD.

Кроме того, если вас беспокоит инъекция журнала, также придите к соглашению о сообщении формата журнала, которое всегда заключает ввод пользователя в символы, которыми вы управляете. Облегчает обнаружение вредительства.

person avgvstvs    schedule 10.10.2019
comment
Итак, вы можете дать мне несколько сайтов с документацией о том, как использовать esapi для log4j 2? - person vishal sundararajan; 10.10.2019
comment
Я не уверен, что мы поддерживаем log4j 2.x непосредственно. Я думаю, вам нужно сделать это с помощью logback, который теперь поддерживает ESAPI 2.2.0.0 (и, возможно, затем использовать мост log4j для logback). Если вы вытащите исходный код из GitHub и просканируете тесты JUnit в разделе src/test, вы должны найти несколько примеров использования журнала в тесте. - person Kevin W. Wall; 10.10.2019
comment
Мы поддерживаем slf4j сейчас? - person avgvstvs; 10.10.2019
comment
Поскольку мы создаем компонент логгера в виде jar-файла с нуля, мы хотели бы, чтобы используемые в нем библиотеки поддерживались достаточно долго. План состоит в том, чтобы использовать SLF4j с Log4j2 и защитить ведение журнала с помощью ESAPI. Журналы в основном будут просматриваться либо в текстовом редакторе, таком как notepad ++, либо с помощью шпатлевки, либо с помощью браузера. Разработчики, создающие веб-приложения на основе Spring, будут импортировать этот jar-файл в качестве зависимости в качестве своей среды ведения журнала. - person vishal sundararajan; 12.10.2019