問題タブ [owasp]

XSS の防止に関する OWASP ガイドラインを読みました。ガイドラインは、ホワイトリストとエンコード出力を持つことのみを参照しているようです。ただし、これにより、いわゆるフリー テキスト フィールド (この投稿を作成するために書き込んでいるテキスト ボックスなど) の問題が未解決のままになります。

フリーテキストフィールドを受け入れるときにサーバー側で実行できるブラックリスト (望ましくない) 以外の予防策はありますか?

OWASP ガイドラインから、xss をデータベースに格納することを許可し、フロントエンドに表示されるたびにサニタイズする必要があるという印象を受けました。しかし、私はこれに少し不快です。それとも間違っていますか、もっと良い方法はありますか？

OWASPからCSRFTesterツールを実行して、Webアプリケーションに対するCSRF攻撃をチェックしようとしています。ツールからHTMLレポートを生成することはできますが、使用方法がわかりません。グーグルで試してみましたが、役に立ちませんでした。これが私が今まで従ってきたステップです：-

これから、CSRFをテストするために正確に何をしなければならないのか、そしてそれをどのように行うのかわかりません。ガイドしてください。このツールを使用するためにネット上で入手できる資料には、私ができないことと同じことが繰り返し述べられています。理解する。

サイトの引用：-

レポートを生成したら、新しいブラウザインスタンスを開き、テストサイトの同じビジネス機能にアクセスできる別のユーザーとして認証し、新しく作成されたHTMLレポートファイルを起動します。被害者の認証に使用されたのと同じブラウザウィンドウでファイルを表示した後のアクション効果の場合、その特定の機能はCSRF（クロスサイトリクエストフォージェリ）に対して脆弱です。

私を案内してください..また、CSRFの脆弱性をテストするための無料ツールについて誰かが知っている場合は、私に知らせてください..私はAcunetixを使用してみましたが、役に立ちませんでした。

MySQL を DB として JSF 上に構築された Web アプリケーションがあります。アプリケーションで CSRF を防止するコードを既に実装しています。

現在、私の基礎となるフレームワークは JSF であるため、XSS 攻撃は .NET によって既に処理されているため、処理する必要はないと思いますUIComponent。どのビュー ページでも JavaScript を使用していません。使用したとしても、XSS 攻撃を防ぐためにコードを実装する必要はありますか?

DB では、すべての DB インタラクションでプリペアド ステートメントとストアド プロシージャを使用しています。

これら 3 つの一般的な攻撃を防ぐために他に対処する必要があることはありますか? 私はすでにOWASPサイトとそのチート シートを確認しました。

その他の潜在的な攻撃ベクトルに注意する必要はありますか?

Fortify Source Analyzer v3.1 でスキャンした ASP.NET Web アプリケーション プロジェクトがあります。

Web プロジェクトには、それ自体にリダイレクトされる場合がある ASPX が含まれています。

コードは次のとおりです。

Fortify は、これを OWASP A10 および CWE / SANS ID 601 の問題として分類しています。脆弱性がわかりません。非常に特定の場所 (現在の URL) にリダイレクトしているようです。

なぜそれが悪いと見なされるのですか？

前もって感謝します。

コード (asp.net) に CSRF (クロス サイト リクエスト フォージェリ) ガードを実装する必要があります。OWASP からライブラリを入手しましたが、ドキュメントが提供されていないため、それを実装するのは大変です。.net で csrf ガードを実装したり、OWASP ライブラリを正しく構成したりする簡単な方法を教えてもらえますか?

ありがとう

-ちゃんだん

モバイル アプリケーションの開発中に留意すべきセキュリティ問題について、OWASP Top 10 Mobile Risksを調べていました。彼らは、Android および iOS プラットフォームに関する非常に優れた情報を提供しています。注目すべきものには、クライアント側インジェクション、iOS 悪用 URL スキーム、Android 悪用インテント、キーストローク ロギング、スクリーンショット/iOS バックグラウンド、ログなどがあります。

これらは非常に役に立ちました。Windows Phone 7に存在する、Apple iOS および Google Android には存在しない新しい脆弱性があるかどうかを知りたいと思います。

私の要件は、私のプロジェクトの WP7 開発者を教育してクライアント向けの安全なアプリケーションを構築するために、脆弱な WP7 アプリのようなものを構築する必要があるということです。

OWASP は、iOS および Android 開発者のために、iGoat (iOS アプリケーション) と DroidGoat (Android アプリケーション) を既にビルドしています。Windows Phone 7 用のそのようなアプリケーションは見当たりません。

私たちのチームは、OWASPガイドラインへの準拠を強化することを目指しており、タスクの1つはSQLインジェクション攻撃の防止です。これを容易にするために、コードベースでの使用状況を自動的にチェックする方法を探していました。java.sql.Statementこれにより、フラグを付けて、を使用するように変更できますPreparedStatement。

ビルドプロセスはMavenに基づいており、プロジェクトで分析を実行するためのSonarセットアップもあります。特定のしきい値に達した場合にビルドを失敗させるためのいくつかのルールがSonarにすでに設定されているため、ここで実装できます。インポートを探すcheckstyleregexルールを設定できる場所を見てきましたが、他のオプションもあるかどうかを確認したいと思いました。

開発/ビルドパスに沿った任意の場所が機能します。これにフラグを立てる何かがintellijにある場合、Mavenビルドプロセスに何かがある場合、またはSonarでこれにフラグを立てる別の方法がある場合、これらのいずれも問題ありません。

ありがとう！！

ユーザー入力があります。コード内で、次の記号がエスケープされていることを確認します。

OWASPは、エスケープする文字が他にもあると述べています。

属性については、別の種類のエスケープを行います。

これにより、すべての属性が " で囲まれていることが保証されます。これにより、html 属性については確認できますが、HTML 自体については確認できません。

私の逃げ道は十分なのだろうか。この投稿を読みましたが、自分の懸念についてまだよくわかりません。

(JavaScript は OWASP-Library でエスケープされます)

この質問は本質的に少し悪意があるように思われるかもしれませんが、 Android /モバイルアプリ開発のベストプラクティスを学ぼうとしているだけであり、セキュリティはソフトウェアの大きな問題です。それでも、この質問（！）を読んだ後、それが本質的に悪意があると思う場合は、これらの攻撃を実装する方法を尋ねているのではなく、優れたAndroid/モバイル開発者が必要とする攻撃を尋ねているだけです。を認識すること。

以下は、アプリケーションの「公式」OWASPトップ10セキュリティ脅威のリストです（リンクはこちら）。これらのどれがAndroid開発に適用されるのか、またはここにリストされていない他の主要な攻撃があるのか​​どうか疑問に思いました：

• 注入
• クロスサイトスクリプティング（XSS）
• 壊れた認証とセッション管理
• 安全でない直接オブジェクト参照
• クロスサイトリクエストフォージェリ（CSRF）
• セキュリティの設定ミス
• 安全でない暗号化ストレージ
• URLアクセスの制限の失敗
• 不十分なトランスポート層保護
• 未検証のリダイレクトと転送

注意：私は、モバイルデバイスで表示するために構築されたWebサイトについて話しているのではありません。私は、モバイルデバイスに展開される実際のアプリケーションについて話しています。Androidの場合、これはAPKsを意味します。

現在、OWASP のオープン ソース プロジェクトに取り組んでおり、エンタープライズ セキュリティ コントロールの C++ API を作成しています。

Enterprise Security API (ESAPI) は、Java EE 用に既に定義されています。C++ 言語のセキュリティ管理の要件は、ある程度異なる可能性があることを認識しています。間違いなく、最大のセキュリティ上の懸念のいくつかは、現時点では解決策を提供していないメモリ管理に起因しています。これまでのところ、ESAPI 2.0 for Java 仕様から抜粋したいくつかの項目に焦点を当てています。ただし、これらのセキュリティ セクションの一部に固有の質問がいくつかあります。主に、Java ESAPI は Web アプリケーションに大きく傾いていますが、これは C++ の標準ではありません。したがって、一般的なセキュリティ制御が C++ コミュニティに役立つ他の領域を探しています。C++ 開発者が直面する一般的なセキュリティ問題の種類を知っておくと役立ちます。

私たちは、ハッカーがどのように攻撃してあなたのコードを壊すかを特定しようとしており、それを防ぐための適切なセキュリティ制御を提供できるようにしています.

このプロジェクトに関するフィードバックを集めるために、Google アンケートを作成しました。ただし、ここにもフィードバックを残してください。 https://docs.google.com/spreadsheet/viewform?formkey=dE5feWtjYlBNU05lV1FxTGNLVExIMVE6MQ

提案されたセキュリティ コントロール(ESAPI 2.0 for Java から取得):

• 認証 - 裏付けとなるアカウント資格情報とセッション識別子を生成および処理する方法。
• ユーザー - アプリケーション ユーザーまたはユーザー アカウントを表します。
• アクセス制御 - アクセス制御を実施するために、さまざまなアプリケーションで使用できるメソッド。
• 検証 - 信頼されていない入力を正規化および検証するためのメソッド.
• エンコーディング - さまざまなインタープリターにとって安全になるように、入力をデコードし、出力をエンコードします。
• 実行 - セキュリティ リスクを軽減して OS コマンドを実行するために使用されます。
• 暗号化 - 一般的な暗号化、暗号化乱数と文字列、ハッシュ操作、および署名。暗号化機能は、C++ 用の Wei Dai の Crypto++ ライブラリに基づいて構築されます。ただし、私たちの意図は、いくつかの基本的な用語は別として、暗号化に関する特定の知識がなくても平均的な開発者が使用できるほど単純な暗号化機能を提供することです。
• ロギング - セキュリティ イベントのログ記録に使用できるように設計された方法。

この API の使用を検討しますか?

これはあなたの開発/ビジネスに利益をもたらしますか?

推奨事項はありますか？

このプロジェクトに関して提供できる追加情報は、私たちにとって有益です。上記のリストに含まれていないものや、一般的な推奨事項を含めると便利な特定のものがある場合は、それで問題ありません。上記のリストで、使用する方法がまったくないため除外することをお勧めするものはありますか? もしそうなら、それについても教えてください。

ご注意いただきありがとうございます。C++ 用の ESAPI を作成することで、開発者がより安全なアプリケーションを簡単に作成できるようになることを願っています。

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://code.google.com/p/owasp-esapi-cplusplus/