問題タブ [owasp]

Owasp Anti samy と Ebay ポリシー ファイルを使用して、Web サイトへの XSS 攻撃を防ぎます。

また、Hibernate 検索を使用してオブジェクトのインデックスを作成しています。

このコードを使用すると：

ご覧のとおり、すべての文字 "é" は HTML エンティティに相当する " é"に変換されています。

私のページは UTF-8 なので、この変換は必要ありません。さらに、このテキストを Hibernate Search でインデックス化すると、単語が html エンティティでインデックス化されるため、インデックスで「été」という単語が見つかりません。

アンチサミーが特殊文字を同等の html エンティティに変換しないように強制するにはどうすればよいですか?

ありがとう

PS: 問題が開かれました: http://code.google.com/p/owaspantisamy/issues/detail?id=99

利用可能なantisamy-1.4.1.xmlポリシーでAntiSamyを使用しています。ポリシーは、攻撃されたほとんどのXSSをブロックするためにうまく機能していますが、以下はブロックされていません。XSS攻撃を防ぐために、以下をブロックする方法に関する提案はありますか？

ありがとう

OWASP のトップ 10 を調べて、特定の種類の脆弱性をより深く理解してきました。最後の項目である Unvalidated URL Redirects に進みました。私は攻撃を理解しています。このようなフィッシング スキームは、OWASP で読んだ今では完全に明白に思えます。私が理解するのに苦労しているのは、そもそもなぜこのスタイルのリダイレクトが発生するのかということです。

リダイレクト URL を URL のパラメーターとして含めることには、いくつかの利点があるはずです。

すなわちexample.com/go.php?url=newpage.php

他の可能なリダイレクトスキームの多くを使用するのではなく。url パラメータが動的に生成されたとしても、悪意のある URL の作成を防ぐために POST 経由で送信することはできませんか? なぜ Google は、「I'm Feeling Lucky」というリダイレクト URLを Stack Overflowに送信することを誰にでも許可しているのでしょうか?

Web アプリケーション セキュリティ プロジェクトを開く

セキュアなソフトウェア開発を促進する Web 指向のサービスの提供を重視する Web デザインの問題よりも主に「バックエンド」に焦点を当てる 議論のためのオープン フォーラム あらゆる開発チームのための無料のリソース

それは何ですか？オペレーティングシステムまたはソフトウェア?

古いClassicASP環境では、OWASPを使用して、リクエストオブジェクトからパスワードを取得し、英数字以外の文字を暗号化します。これは、SQLインジェクションを防ぐための最初の防衛線です。完全なSQLインジェクション防止のために他の方法を使用します。

問題は、HTTP POSTメッセージをまとめるためにデータを収集し、ユーザー入力からパスワードを取得し、OWASPして送信する場合です。したがって、パスワードは正しくありません。

例：パスワードfreddie $ cougarはfreddie＆36;cougarになります

最終的には、50文字のテキストフィールドではSQLインジェクションを実行するのに十分なスペースがないと想定し、コードを変更したため、パスワードをOWASPで入力しませんでした。これは少し怖い感じです。

彼らはより良い方法ですか？

コードはvbScriptで記述されています。

最近、OWASP.jar を使用して OWASP セキュリティ ソリューションを実装しました。その後、アプリケーションは IE 7 と Firefox 3.5 で正常に動作しました。ただし、このアプリケーションは Safari 4.0.5 または 5.0 では動作しません。

コンソールに次のメッセージが表示されます。

「CSRF脅威の可能性が検出されました!ログインページにリダイレクトしています..」

アプリケーションにログインできません。リクエスト自体も受け付けていません。何かアイデアがあれば、私に提案してください。Safari ブラウザの設定で何かする必要はありますか?

開発にはJavaを使用しています。

私は最近、OWASP の推奨事項と PCI コンプライアンスを念頭に置いて、入力 (および出力) の検証を改善する取り組みを主導する任務を負っています。その過程で、私は ESAPI.NET プロジェクトの価値を評価しようとしています。このプロジェクトは 2009 年の春以降活動が見られず、現状では不完全です。

ESAPI.NET v0.2 を使用または拡張した経験のある人はいますか? 対象となる脆弱性に対処するためのインフラストラクチャを構築するための出発点として、今日は適切でしょうか?

参考までに: 私は MS AntiXSS を検討していますが、これはもちろん、ESAPI の範囲の一部にしか対応していません。改善が必要な点はありますが、SQL インジェクションはすでにうまく機能しています。

(誰かが ESAPI タグを作成したい場合は、お気軽に。私にはモジョがありません。)

OWASP Top 10 Listによると、安全でない直接オブジェクト参照を防ぐ 1 つの方法は、間接参照のみを提供することです。これらは、サーバー上の直接 (DB など) 参照にマップされる人為的な参照です。マッピングはセッションに保存されます。

残念ながら、このソリューションは検索エンジンにあまり適していません。クローラーによって保存されたリンクは、別のセッションでは無効になります。

この問題を回避する方法はありますか? 参照のマッピングやオブジェクト アクセスのチェック以外に解決策はありますか?

OWASP ESAPI ライブラリを使用しているため、自分の Web サイトで XSS 攻撃を防止しようとしています。クラスパスにこのライブラリの jar を追加しましたが、次のエラーが発生しています。

ファイル io を介して ESAPI.properties をロードしようとしています。
ファイル io を介して ESAPI.properties をロードしようとしています。
「org.owasp.esapi.resources」ディレクトリに見つからないか、読み取れないファイル: F:\eclipse\ESAPI.properties
SystemResource ディレクトリ/resourceDirectory に見つかりません: .esapi\ESAPI.properties
「user.home」ディレクトリに見つかりません: C:\Users\juzer.esapi\ESAPI.properties
ファイル io による ESAPI.properties の読み込みに失敗しました。
クラスパス経由で ESAPI.properties を読み込もうとしています。
ESAPI.properties をロードできませんでした。不合格。

ありがとう

既存のStruts1.1アプリケーションにOWASPCsrfGuard3フィルターを実装しました。これは、ファイルアップロードフィールドとenctype = "multipart / form-data"を持つフォームを除いて、すべてのリクエストで正常に機能します。次のメッセージがコンソールに記録されます。「error：requiredtoken ismissingfromtherequest」。

csrfトークンはフォームの非表示フィールドとして追加され、ブラウザーでページソースを表示すると表示されます。

フォームからファイルフィールドを削除し、html：Formタグからenctype属性を削除すると、フォームは正常に機能します。

CsrfGuardを使用してマルチパートファイルのアップロードを構成する方法を教えてください。

ありがとう、