1

Oracle 11g データベースを使用した grails-groovy (現在はバージョン 1.3.7) ベースのアプリケーションがあります。OWASP に準拠する必要があるため、考えられるすべてのセキュリティ強化/プラグインを検討しています。主な問題は次のとおりです。アプリケーションには、ユーザーが新しい電子メール テンプレートを作成して保存できる電子メール テンプレートの作成機能があります。テンプレートを作成するには、このテンプレート ページに手動でコードを記述する必要があります。(実装が完了したので、それを保護する必要があります! ) コードは以下で構成されています

1) groovy コード
2) grails タグ
3) SQL 選択クエリ (ユーザーを読み取り専用に制限して、Insert や Delete などを使用できないようにすることができます) 4
) HTML タグ
テンプレートをメールに送信してから送信してください。

markup-sanitizer プラグインと HDIV API については知っていて、それらについて考えていますが、この機能をより安全にするにはどうすればよいですか?

4

1 に答える 1

0

これは、ユーザーを信頼する必要がある機能だと思います。私の見解では、この種のマークアップをサニタイズすることはできません。悪意のあるコードを挿入する方法が多すぎます。(本「安全なコードを書く」を参照してください)

OWASP に関しては、常に脅威を分析する必要があります。つまり、攻撃の可能性と被害の程度です。管理者 (信頼できる) だけがこのテンプレート エンジンにアクセスできる場合、リスクは低いと思います。

それ以外の場合は、自由形式のテンプレートの代わりにテンプレート ジェネレーターを作成する必要があります。しかし、SQL クエリ ビルダーとある種のテンプレート ビルダーが必要になるため、これもあなたの説明からすると大変な作業のように思えます。

したがって、安全な実装が可能になるように要件を再定義する必要があると思います。

于 2012-04-10T12:31:06.097 に答える