Вопросы по теме 'esapi'
Проверка ввода текста в веб-формах с помощью esapi
как я могу использовать ESAPI для проверки небезопасных входных текстов в веб-формах? Мое приложение построено с использованием struts 1.X, поэтому я предполагаю, что проверки должны быть добавлены в классы Actions. Любые образцы/учебники, которые...
7309 просмотров
schedule
19.09.2022
Не удается просмотреть сообщения журнала программы при использовании ESAPI
Я новый пользователь ESAPI. Я правильно создал свойства ESAPI (я думаю), шифрование и дешифрование работают.
Однако я больше не вижу сообщения журнала исходного кода (это программа map/reduce). Это свойство в ESAPI.properties:...
1495 просмотров
schedule
27.01.2023
Кодировщик ESAPI канонизирует изменяющиеся параметры запроса
В одном из моих REST API есть параметр запроса с именем «партнеры», который представляет собой список целых чисел, поэтому вы можете указать несколько значений в URL-адресе. В качестве предотвращения XSS-атак я удаляю вредоносный контент из входных...
6226 просмотров
schedule
21.06.2022
Как реализовать Java ESAPI для предотвращения XSS?
Я прочитал много сообщений о том, что ESAPI для Java можно использовать для предотвращения XSS с помощью Валидатор и Кодировщик . Кстати, я использую Eclipse. Я не использую ни Maven, ни Spring.
Мои вопросы:
Как реализовать Java...
2477 просмотров
schedule
07.11.2022
как сгенерировать мастер-ключ и мастерсолт в esapi
Я хочу сгенерировать Master Key и MasterSalt в esapi для своего приложения. По умолчанию
Encryptor.MasterKey=7AXyrRttFnPJHgzD/lTntA==
Encryptor.MasterSalt=tBp5pH+wXKHoICzUMLvnLQcncKE=
Я пытался сгенерировать в соответствии с упомянутой...
2065 просмотров
schedule
05.08.2022
Gae + Struts2 + Spring3 + Hibernate4 + MySQL на локальном хосте не создает http-сессию, а хранилище данных всегда пусто
У меня проблема с хранилищем данных и спящим режимом, я смог интегрировать Gae + Struts2 + Spring3 + Hibernate4 + MySQL в локальный хост, и все вроде работает, но когда я пытаюсь создать сеанс в HTTP, сеанс не создается или сеанс...
329 просмотров
schedule
09.03.2022
ESAPI канонизирует неверный URL-адрес
У нас есть приложение, которое принимает URL-адреса от пользователей. Эти данные нуждаются в проверке, и для этой цели мы используем ESAPI. Однако мы боремся с URL-адресами, содержащими амперсанд.
Проблема возникает, когда ESAPI канонизирует...
8350 просмотров
schedule
18.04.2023
Разница между HDIV и ESAPI
Я планирую разработать веб-приложение с использованием Spring MVC и пытаюсь выяснить, какую библиотеку лучше всего использовать для решения проблемы Top 10 OWASP. Я пришел посмотреть два HDIV и ESAPI, может ли кто-нибудь помочь мне понять разницу...
6954 просмотров
schedule
25.01.2023
Как использовать ESAPI для разрешения JavaScript DOM XSS?
Мы используем HP fortify Audit Workbench 3.80 для оценки уязвимостей в наших приложениях. Fortify помечает следующий код JavaScript ExtJ как критическую («наихудшую») XSS-уязвимость DOM:
function doAjaxCall(param1, param2, div) {
var options...
7018 просмотров
schedule
06.09.2022
Есть ли какие-либо преимущества при использовании проверки номеров ESAPI?
Меня попросили добавить некоторую проверку ввода во все наши конечные точки REST. В нашей системе есть два настраиваемых ограничения проверки, охватывающих библиотеку ESAPI; один для String, обертка #isValidInput и один для Long, обертывающий...
585 просмотров
schedule
08.05.2023
Решите это с помощью OWASP и ESAPI
Вектор атаки: java.io.PrintWriter.write
Описание. Этот вызов java.io.PrintWriter.write () содержит ошибку межсайтового скриптинга (XSS). Приложение заполняет HTTP-ответ введенными пользователем данными, позволяя злоумышленнику внедрить вредоносный...
2065 просмотров
schedule
28.04.2022
Межсайтовый скриптинг: плохая проверка (проверка и представление входных данных, поток данных)
Я просканировал свое приложение на портале HP fortify и получил сообщение о проблеме Межсайтовый скриптинг: плохая проверка (проверка и представление входных данных, поток данных).
Я уже использую библиотеку ESAPI.
Что мне делать, чтобы решить...
14256 просмотров
schedule
26.07.2023
ПРЕДУПРЕЖДЕНИЕ Esapi: [ОШИБКА БЕЗОПАСНОСТИ Anonymous:null@unknown -> /ExampleApplication/IntrusionDetector]
У меня есть эта строка кода:
ESAPI.validator().isValidInput("user id", userID, "USERID", 8, false);
Я написал для него тест, когда я запускаю тест, и тест не проходит, я получаю следующее предупреждение:
WARNING: [SECURITY FAILURE...
5457 просмотров
schedule
23.07.2022
Нужна помощь в определении разницы между ESAPI.validator() и ESAPI.encoder()
Мы реализуем безопасность приложений на нашем веб-сайте. Это приложение на основе REST, поэтому мне придется проверять всю полезную нагрузку запроса, а не каждый атрибут. Эта полезная нагрузка должна быть проверена против всех типов атак (SQL, XSS и...
4024 просмотров
schedule
11.05.2024
Библиотека JavaScript или Esapi, предотвращающая XSS — экранирование и кодирование ненадежных данных
Я работаю над некоторыми одностраничными приложениями, написанными на JavaScript, которые в настоящее время используют lodash. Я хотел бы предотвратить межсайтовый скриптинг (XSS) с использованием стандартной библиотеки следующим образом:
1)...
1764 просмотров
schedule
15.02.2023
Как исправить Veracode CWE 117 (неправильная нейтрализация вывода для журналов)
Существует глобальный метод Spring @ExceptionHandler(Exception.class) , который регистрирует подобное исключение:
@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
logger.error("Simple error message", ex);
......
30242 просмотров
schedule
05.09.2022
Как подавить вывод сообщений библиотекой ESAPI
Кто-нибудь знает, как подавить следующие шумные сообщения, выводимые библиотекой ESAPI?
System property [org.owasp.esapi.opsteam] is not setAttempting to load ESAPI.properties via file I/O.
Attempting to load ESAPI.properties as resource file via...
3514 просмотров
schedule
29.05.2023
как игнорировать исключение ESAPI org.owasp.esapi.errors.IntrusionException: ошибка проверки ввода?
Мой проект (построенный на JSP, Struts, hibernate) принимает данные от пользователя и сохраняет их в базе данных. Чтобы сделать мое приложение безопасным, я использовал банку ESAPI.
я получаю исключение...
1519 просмотров
schedule
14.06.2023
EncodeFor в cfoutput отключает html вообще почему?
Недавно я обновился с ColdFusion 11 до ColdFusion 2016, потому что хотел использовать encodefor="" в своих тегах cfoutput . Все работает корректно, кроме HTML. Например:
Теги <br> из переменной будут отображаться как <br>...
217 просмотров
schedule
22.03.2024
Есть ли альтернативы ESAPI?
Мы разделяем наши функции ведения журналов на отдельную библиотеку ведения журналов, которая будет использоваться в качестве JAR-файла ведения журнала для всех веб-приложений. В настоящее время мы используем ESAPI 2.1 для предотвращения подделки...
1050 просмотров
schedule
28.01.2023