問題タブ [esapi]

現在のプロジェクトでは、Maven と Spring を使用しています。現在、ログ サービスに SLF4J ロガーを使用しています。その代わりに、OWASP-ESAPI ロガーを使用したいと考えています。OWASP-ESAPIログ サービスだけを使用して、セキュリティを使用したくありません。OWASP-ESAPIslf4j ロガーを最小限の労力で置き換えて、ロガーの使用方法を教えてください。私は多くのグーグル検索を試みましたが、何も役に立ちません。OWASP-ESAPIロガーについての知識を得るためのいくつかのリンクも本当にありがたく思います。

誰かが私を助けてくれることを願っています。

OWASP ESAPI 2.1.0 と JavaEE を使用して、Web アプリケーションのいくつかのエントリを検証できるようにしています。ある時点で、Windows ファイル パスを検証する必要があったため、次のように「validation.properties」に新しいプロパティ エントリを追加しました。

たとえば、ESAPI を介して "C:\TEMP\file.txt" のような文字列を検証しようとすると、ValidationException が発生します。

別の方法として、java.util.regex.Patternクラスを試して、同じ文字列の例で同じ正規表現をテストしたところ、問題なく動作しました。

「validation.properties」に他の正規表現を追加し、正常に機能したと言わざるを得ません。なぜこれがそんなに難しいのですか？誰かがこれで私を助けてくれますか?

Windows Server 2008 R2 上の IIS 7.5 で ColdFusion 9.0.1 を実行している 2 つのサーバー (1 つは運用環境、もう 1 つは開発環境) があります。この 2 つは同じように構成されています。問題のないアップタイムが数週間から数か月続いた後、サイトの一部 (具体的には CFIDE 管理者ポータルと cfwindow タグのあるページ) で「クラス coldfusion.security.ESAPIUtils を初期化できませんでした」というエラーがスローされ始める一時的な問題があります。ログ。

いくつかの 推奨事項に基づいて、数か月前にすべてのホット フィックスをアンインストールして再インストールし、正しい順序で適用していることを 5 回チェックし、正しい一連の指示に従っていました。

それでも問題は解決しませんでしたが、ログ ファイルをくまなく調べていると、jRun の再起動後に別の ESAPI 関連のエラー (「ESAPI.properties could not be loaded by any means. fail.」) がログに表示されることに気付きました。次の宣言をjava.argsin に追加してみましたjvm.config:

これにより、数か月間問題が解決したように見えました。エラーはありません。問題なく動作しました。その後、昨日、運用サーバーが再びエラーをスローし始めました。JRun を再起動してサーバーを再起動しようとしましたが、エラーが続きます。開発サーバーはまったく問題ありません。

ESAPIUtils インスタンスをインスタンス化して cfdump するだけのスクリプトを作成してみました。dev では、オブジェクトに関するメタデータをダンプします。本番環境では、ページでエラーが発生します。

私はほぼ1年間、この問題と断続的に戦ってきました。数日後に自然に治る場合もあれば、数週間続く場合もあります。この状態を「誘発」する方法をまだ見つけていないので、しばらくは機能するように見えるテスト不可能な「修正」に行き詰まっています。

これはまったく関係ないように見えますが、組み込みIsImageFile()関数が有効な画像に対して false を返す場合がありました。IsImageFile() の奇妙さは、「クラス coldfusion.security.ESAPIUtils を初期化できませんでした」という狂気が始まる少し前に始まるようです。

サーバーのバージョンは次のとおりです。

そしてからのスタックトレースcfusion-out.log：

jsp Web アプリケーションに xss 修正を実装しようとしています。メソッド ESAPI.validator.getValidInput を使用しました。ただし、これはプロパティ ファイルからホワイトリストを取得します。ここでの私の質問は、ブラックリストが ESAPI でも利用できるかどうかです? 私たちの Web アプリケーションでは、多くの特別な文字が使用され、いくつかの国際言語が入力として許可されているため、ここで whilelist 文字を見つけるのは複雑です。この場合、アプローチが正しいか（esapi.validator.getvalidateを使用してホワイトリストを使用する）、そうでないかを知りたいです。

JBOSS WildFly で ESAPI プロパティ ファイル ディレクトリを設定したい (通常は VM 引数で行われること: -Dorg.owasp.esapi.resources="/path/to/.esapi") が、他の方法で行うことを好むさまざまなプロジェクトのさまざまなプロパティ構成をサポートする

誰かがそうする方法を知っていますか？

タク！

アプリケーションを実行しているときに以下のエラーが発生します

以下のプロパティを変更してみましたが、うまくいきませんでした

Validator.HTTPHeaderName=^[a-zA-Z0-9\-_]{1,32}$ は 32 から 50 に変更されましたが、それでも同じエラーがスローされます

私のヘッダーは response.setHeader("Access-Control-Allow-Origin", "*"); です。この行にコメントすると機能します。esapi.properties ファイルでヘッダー名の長さを変更する方法を教えてください。

アプリケーションに esapi セキュリティ フィルタを適用しています。conf.properties ファイルのプロパティを使用して、このセキュリティ フィルタを有効/無効にしています。無効にすると正常に動作しますが、有効にするとアプリケーションにアクセスできません。これが私のコードです。

問題をデバッグしましたが、解決できませんでした。有効な場合は request.getPathInfo() を "" として取得し、無効な場合はパスを返します。

この問題を解決する方法、私を助けてください。事前に感謝します。