問題タブ [owasp]

以前に LAMP ベースの製品に htmlpurifier を統合しましたが、少し遅かったです。最近、mod_security を有効にしました。これらは両方とも OWASP プロジェクトの一部であるため (owasp は内部で htmlpurifer を使用しており、最後に確認しました)、セキュリティが冗長であると考えています。

何を提案しますか？htmpurifier をオフにすることは実行可能なオプションですか? 回答ありがとうございます。

パブリックWebで入手可能なAmazonのJBoss6にEARアプリケーションをデプロイすることを計画しています。複数のインスタンスが必要になりますが、クラスタリングは必要ありません。私の場合、ELBがその役割を果たします。OWASPセキュリティガイドラインは、アプリケーションの開発中に考慮されました。ただし、OWASPの1つの原則、つまり隠すことによるセキュリティに問題があります。

JBossを使用しているという事実を隠すにはどうすればよいですか？カスタムエラーページがあり、ELBはアプリケーションのコンテキストパスへのアクセスのみを許可しますが、JBossがJBoss固有のヘッダーを表示するかどうか心配しています。リクエストを転送するためだけにmod_jkまたはmod_proxy_ajpを使用して各インスタンスでJBossの前にApacheを配置する方が安全ですか（これは不要な場合は避けたいものです）。

よろしく

OWASP の善良な人々は、信頼できないデータを入れる HTML ドキュメントの部分 (本文、属性、JavaScript、CSS、または URL) にはエスケープ構文を使用しなければならないことを強調しています。OWASP-XSSを参照してください。彼らの API (ESAPI チームによって開発された) は、その後、各コンテキストのエンコーダーを使用してこれに対応します。

ESAPI.encoder().encodeForHTML("input"); ESAPI.encoder().encodeForHTMLAttribute("input"); ESAPI.encoder().encodeForJavaScript("input"); ESAPI.encoder().encodeForCSS("input"); ESAPI.encoder().encodeForURL("input");

その後、開発者はDOM ベースの XSSに対応できます。

私の質問は、GWT の safehtml パッケージがこれにどのように対応するのか、それとも単に HTML エンコーディングに焦点を当てているだけなのかということです。

GWT アプリを XSRF から保護するための解決策を検討しています。

GWTのソリューションを正しく理解していれば、クライアント側でのトークンの生成(RPCエンドポイントを呼び出すとき)とサーバー側での検証(呼び出しがサービスに到達するとき)の両方に使用するサーブレットが利用可能になります。

このソリューションは RPC 呼び出しのみに対応していますか? ユーザーが生成したサーバーへのすべてのリクエストをカバーする必要があるのでしょうか?

他に推奨される XSRF ソリューションはありますか ( OWASP の CSRFGuardも検討しています)。

私は大規模なプロジェクトにPlayを使用することを考えています。OWASP Top 10 で Play フレームワークをテストした人はいますか? Play フレームワークで知っているセキュリティ上の問題はありますか?

現在、OWASP のトップ 10 のセキュリティ対策のほとんどを実装した J2EE システムがあります。現在、このアプリケーションでは、データベースに保存されているユーザーとパスワードの組み合わせでユーザーがログオンできます。

/*ユーザーのログイン状態を判断するために、セッションとセッション属性の存在を確認するためにマップされた Java フィルターがあります。

OK、最後に問題があります。特定のイベントが発生したときに GPRS 経由で URL 要求を送信するデバイスを製造する会社と統合しています。この URL はシステムへのリンクです。

私は (セキュリティを損なうことなく) この「デバイス」を認証したいと思います。デバイスに情報を送信することはできないため、単一の要求を認証する必要があり、誰もその URL を「再生」することはできません。

これが何らかの相互認証なしで可能かどうかはわかりません。チェックする IP アドレスのホワイトリストについて考えましたが、ネットワークは常に IP を変更し、デバイスはまだ「識別されていません」。アイデアを教えてください。

PS: 私の一時的な解決策はフィルターに例外を追加することでしたが、これは長期的ではなく、完全に安全ではありません。（SSLもオプションではありません）

Java で自動化されたセキュリティ テストのようなものはありますか? もしそうなら、それはどのように実装されていますか？既知のサーバーの脆弱性を試して悪用するために書かれた JUnit テストだけですか、それともセキュリティ中心のテスト フレームワークですか?

続編として、私はこの OWASP セキュリティ テスト フレームワークにも興味がありますが、彼らが「フレームワーク」を古典的な意味 (従うべきガイドラインと手順のセットを意味する) で使用しているのか、ソフトウェア コンテキスト (自動化されたセキュリティ テスト コンポーネントを実際に提供している場所)。

私のためにこれに光を当てることができる人に感謝します!

クライアント側で有名な wmd-javascript エディター PageDown の再実装を使用しています (これは Stackoverflow でも使用されます)。

現在、PageDown エディターが作成できる HTML サブセットのみをフィルタリングするサーバー (tomcat7 を実行) 用の HTML サニタイザーを検索しています。

私の最初の選択は OWASP プロジェクトでしたが、PageDown の xml ルール ファイルが見つかりませんでした。tinymce のルール ファイルは、「img」タグなどを含んでいなかったため、制限が厳しすぎました。

独自のルール セットを構築することは、非常に苦痛であるだけでなく、セキュリティ上の懸念も生じます。このため、Java クラスや OWASP ルールなど、テスト済みのものがあるかどうかを尋ねたかったのです。

助けていただければ幸いです。

前もって、Thx、トーマス

質問は簡単です: Java クラス MessageDigest で reset() 関数を呼び出す必要があるのはいつですか?

質問は主にOWASP リファレンスから来ています。コードサンプルでは、​​次のようにしています。

次に、ループで次のことを行います。

今、私には、ダイジェストインスタンスが更新の呼び出しですでに「汚染」されている場合にのみ、リセットが必要であるように見えます。したがって、最初のサンプルのものは必要ないようです。必要な場合、MessageDigest.getInstance によって返されたインスタンスがスレッドセーフではないことを示していますか?

• OWASP ハッシュの推奨事項
• ハッシュに関するランダムな記事、初期リセットは含まれていません

XML構成、ポリシー設定、セキュリティフレームワークコンポーネント、ツール（キーストアなど）、およびその間のすべてを含む、Javaのセキュリティモデルについてはほとんど何も知りません。

最終的には、袖をまくり上げてJavaセキュリティを深く学ぶことが不可欠になることは理解していますが、Apache Shiroのようなものを使用すると、移行が少し簡単になるのではないかと思いました。そのため、私はそれにいくつかの懸念があります。

Shiroは、本質的に、Javaアプリケーション（特にWebアプリ）にセキュリティを実装するための「ターンキー、キャッチオールラッパー」です。つまり、Shiroをプロジェクトで構成し、基本的に、それなしで「手動」（段階的）に実行する必要があるのと同じ構成、ポリシー設定などをすべて実行できるように調整できますか？そうでない場合、シロにはどのような欠点がありますか（シロが私のためにできない重要なことは何ですか）？Shiroがまったく対処していない大きな脆弱性はありますか？

同じように、OWASPのESAPIフレームワークについて良いことを聞いたことがあります。誰もが両方の経験がありますか？ESAPIとShiroは連携して動作するように構成できますか、それとも単にバイナリの「どちらか一方」タイプの取引ですか？

前もって感謝します！