問題タブ [esapi]

私は最近、OWASP の推奨事項と PCI コンプライアンスを念頭に置いて、入力 (および出力) の検証を改善する取り組みを主導する任務を負っています。その過程で、私は ESAPI.NET プロジェクトの価値を評価しようとしています。このプロジェクトは 2009 年の春以降活動が見られず、現状では不完全です。

ESAPI.NET v0.2 を使用または拡張した経験のある人はいますか? 対象となる脆弱性に対処するためのインフラストラクチャを構築するための出発点として、今日は適切でしょうか?

参考までに: 私は MS AntiXSS を検討していますが、これはもちろん、ESAPI の範囲の一部にしか対応していません。改善が必要な点はありますが、SQL インジェクションはすでにうまく機能しています。

(誰かが ESAPI タグを作成したい場合は、お気軽に。私にはモジョがありません。)

ESAPIforJavaで提供されているドキュメントは不完全です。セッション管理のために共有する運用コードサンプルを持っている人はいますか？

PS：ESAPIをどこからどのように始めるかを説明する他のコードサンプルも歓迎されます。ありがとう。

Web アプリケーションにセキュリティを提供するために ESAPI.jar を使用しようとしています。基本的に、ESAPI.jar の使用を開始したばかりです。しかし問題は、ESAPI を使用した単純なプログラムでさえ実行できないことです。小さなコード スニペットは次のとおりです。

次のエラーが表示されます。

ソース フォルダーに 3 つの ESAPI プロパティ ファイルをコピーし、それらをビルド パスで構成しようとしましたが、まだ成功していません。私は多くの順列と組み合わせを試しましたが、役に立ちませんでした。

私を案内してください。

プロパティ ファイルの内容は次のとおりです。

しようとすると上記のエラーが発生します

だから私はesapiのセットアップステップを行っていないと推測しています..しかし、私にはわかりません..

私は Java 開発者で、App Security に至る道を進んでおり、OWASP 組織とそのコンパニオン Java API である ESAPI に出くわしました。

数か月前にこのサイトで行った別の質問で、ESAPI はオープン ソース アプリ セキュリティ業界の主要なプレーヤーであると指摘されました。

私が今疑問に思っているのは、ESAPI が組み込みの Java セキュリティ モデル (に根ざしているjavax.security.auth) と、認証/承認の領域、およびおそらく他の領域でオーバーラップしていることです。しかし、Java セキュリティ API に厳密に固執する場合には達成できない、ESAPI が明確に対処する app sec の領域はありますか?

基本的に、ESAPI のすべての利点/機能が既存の Java API ですでにカバーされている場合、ESAPI を学ぶことに意味があるかどうかを尋ねています。前もって感謝します！

現在、OWASP のオープン ソース プロジェクトに取り組んでおり、エンタープライズ セキュリティ コントロールの C++ API を作成しています。

Enterprise Security API (ESAPI) は、Java EE 用に既に定義されています。C++ 言語のセキュリティ管理の要件は、ある程度異なる可能性があることを認識しています。間違いなく、最大のセキュリティ上の懸念のいくつかは、現時点では解決策を提供していないメモリ管理に起因しています。これまでのところ、ESAPI 2.0 for Java 仕様から抜粋したいくつかの項目に焦点を当てています。ただし、これらのセキュリティ セクションの一部に固有の質問がいくつかあります。主に、Java ESAPI は Web アプリケーションに大きく傾いていますが、これは C++ の標準ではありません。したがって、一般的なセキュリティ制御が C++ コミュニティに役立つ他の領域を探しています。C++ 開発者が直面する一般的なセキュリティ問題の種類を知っておくと役立ちます。

私たちは、ハッカーがどのように攻撃してあなたのコードを壊すかを特定しようとしており、それを防ぐための適切なセキュリティ制御を提供できるようにしています.

このプロジェクトに関するフィードバックを集めるために、Google アンケートを作成しました。ただし、ここにもフィードバックを残してください。 https://docs.google.com/spreadsheet/viewform?formkey=dE5feWtjYlBNU05lV1FxTGNLVExIMVE6MQ

提案されたセキュリティ コントロール(ESAPI 2.0 for Java から取得):

• 認証 - 裏付けとなるアカウント資格情報とセッション識別子を生成および処理する方法。
• ユーザー - アプリケーション ユーザーまたはユーザー アカウントを表します。
• アクセス制御 - アクセス制御を実施するために、さまざまなアプリケーションで使用できるメソッド。
• 検証 - 信頼されていない入力を正規化および検証するためのメソッド.
• エンコーディング - さまざまなインタープリターにとって安全になるように、入力をデコードし、出力をエンコードします。
• 実行 - セキュリティ リスクを軽減して OS コマンドを実行するために使用されます。
• 暗号化 - 一般的な暗号化、暗号化乱数と文字列、ハッシュ操作、および署名。暗号化機能は、C++ 用の Wei Dai の Crypto++ ライブラリに基づいて構築されます。ただし、私たちの意図は、いくつかの基本的な用語は別として、暗号化に関する特定の知識がなくても平均的な開発者が使用できるほど単純な暗号化機能を提供することです。
• ロギング - セキュリティ イベントのログ記録に使用できるように設計された方法。

この API の使用を検討しますか?

これはあなたの開発/ビジネスに利益をもたらしますか?

推奨事項はありますか？

このプロジェクトに関して提供できる追加情報は、私たちにとって有益です。上記のリストに含まれていないものや、一般的な推奨事項を含めると便利な特定のものがある場合は、それで問題ありません。上記のリストで、使用する方法がまったくないため除外することをお勧めするものはありますか? もしそうなら、それについても教えてください。

ご注意いただきありがとうございます。C++ 用の ESAPI を作成することで、開発者がより安全なアプリケーションを簡単に作成できるようになることを願っています。

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://code.google.com/p/owasp-esapi-cplusplus/

現在、JavaWebアプリケーションの認証を管理するためにOwaspESAPIを使用しており、guice.injectMembers（this）を使用してシングルトンMyAuthenticatorを注入しています。このアプローチから離れて、guiceで作成されたSingleton-Scopedオブジェクトを使用したいと思います。私は、ESAPIシングルトンのスレッドセーフと、Double-Checked Locking、IODH Idiom、またはBlochのEnumINSTANCEスタイルを使用した一般的なシングルトンの安全性が気に入りました。

Guicified Singleton-Scoped Authenticatorをスレッドセーフにするために、また現在のユーザーを取得および設定するために使用しているThreadLocalフィールドに対して、何をする必要がありますか？

アプリケーション全体を依存性注入で動作させたいのですが、Webアプリの同時アクセスで壊れたくないのです。何か提案やよくある落とし穴はありますか？

私が使用しているThreadLocalオブジェクトは、次のコードのようになります。

小さなJavaEEプロジェクトがあり、OWASPESAPIで保護する必要があります

私はこのようなESAPIをMavenに統合しました：

したがって、この後、プログラミングにESAPIクラスを使用できます。

.esapiサーバーの起動にフォルダーも含めました：

とをにコピーしESAPI.propertiesましvalidation.propertiesた

（動作するかどうかはわかりませんが、サーバーの起動中にエラーは発生しません）

ESAPIインストールガイド（pdf）（本当に悪い文書化）を見て、例をコピーしました

「ESAPIが正常に統合および構成されているかどうかをテストするには、EsapiIntegrationTest.javaというファイルを作成し、次の場所に貼り付けます。」

「このファイルを実行してprintln出力を確認できれば、ESAPIは正常にインストールおよび構成されています。これで、ESAPI機能を使用してWebアプリケーションを保護できます！」

私は私の例のためにそれを「翻訳」しました：

そして私はファイルを持っていますtest.xhtml：

私が入るとき、私はこの本当に長いエラーを受け取ります（より良い少数のためにあなたはpastebintest.xhtmlでもそれを見ることができます）

私はESAPISwingsetデモを知っています-そしてこれは私の構成で実行されています

2つの質問
があります：私のMavenとサーバーは構成を開始しますか？
エラーはESAPIがESAPIロガー関数を見つけることができないように見えるためです...。

また
、セットアップで単純なテストコードスニペットを使用することも可能ですか？

（psもmavenなしで、ダウンロードしたjarを含めるだけでそれを試みましたが、機能していません）

私は次のようなものが恋しいです:(
これはswingsetデモの例からのものであり、私自身のプロジェクトからのものではありません）

うまくいけば、誰かが助けることができます！

私はすでにesapiに問題がありましたが、最終的には機能しました...

pom.xml私はこのようにOWASPESAPIを含めました

この関数を実行すると：

ESAPIエンコーダーは完璧に機能します...

しかし、HASH関数を使おうとすると、

私はこの結果を得ました

ご覧のとおり、ESAPIは私の依存関係ですが、JavaEncryptorが見つかりません。

検索結果はあまり役に立ちません...

誰もがこの問題を知っていますか？（またはとにかく助けることができますか？）ありがとう！

OWASP の ESAPI を使って作業していると、この特定のコード行に行き詰まっていることに気付きました。

私のコンピューターにはそのようなシステム プロパティ「org.owasp.esapi.resources」が設定されていないため、コードは null を返します。このプロパティをコンピューターに永続的に設定する方法はありますか?