問題タブ [owasp]

プロジェクトで OWASP ESAPI を使用しようとしています。しかし、問題は owasp のドキュメントが複雑すぎることです。esapiのバリデーションを試しているのですが、エラーが出なくても結果が得られません。

3回実行しようとした場合の結果は次のとおりです。

ご覧のとおり、エラーはなく、プロパティは適切にロードされています。私の問題は、なぜそこで止まったのかです。「connect 2」が印刷されないのはなぜですか? また、instance.isValidInput の結果も出力されないのはなぜですか?

OWASPのXSS防止に関するチートシートを読みましたが、これらのルールを使用したアプリケーションを実際には認識していません。これらのルールで指摘されている脆弱性はないと思います。

私は次のすべての原則に従うPHPアプリケーションを実行しています。

1. サーバー側で処理およびサニタイズされることなく、単一のユーザー入力がHTMLページに直接表示されることはありません

2. すべてのユーザー入力はでサニタイズされhtmlentities()ます。それで十分ですか？（SQLインジェクションにはプリペアドステートメントを使用します）

3. 一部のユーザー入力は、maxlengthサーバー側で5文字の条件があります。それはXSSからの保護に役立ちますか？（XSSコードが6文字より短いことはほとんど見られないため）

4. データベースからのデータとは別に、ユーザーに表示される唯一のユーザー入力は、ajaxを介してサーバーに送信され、（jQueryを使用して）代わりにをhtmlentities使用してサニタイズされ、DOMに再導入されました。text()html()

私の場合、XSSについて心配する必要がありますか？XSSから身を守るために他に何ができますか？

Java EE Web アプリ (WAR) で使用できる、優れたルールベースの Web アプリ ファイアウォール (WAF) を探しています。これまでのところ、OWASP と ModSec (Java 用) から Stinger を探し出しました。Stinger は新しいですが、本格的な WAF とは見なされません。私は ModSecurity に懐疑的です。なぜなら、それは古く、おそらく時代遅れ/廃止されているように見えるからです (マニュアルは 2001 年から 2004 年に著作権で保護されています)。

Java EE Web アプリケーション用の優れた無料のオープン ソース WAF を推奨できる人はいますか? 少なくとも、HTTP/S ヘッダーを保護/フィルタリングする必要があります。前もって感謝します！

XML データ インジェクションのために、以下のコードを修正する必要があります。

修正方法は？誰にも何か提案はありますか。

これが話題になっているのかどうかはわかりませんが、.NET WinForms に固有のものであるため、Security stackexchange サイトよりもこちらの方が理にかなっていると思います。

(また、これはセキュア コーディングに厳密に関連しており、サイト全体で見られる一般的な Web サイトの脆弱性について尋ねる質問と同じくらい話題になっていると思います。)

何年もの間、私たちのチームは Web サイト プロジェクトの脅威モデリングを行ってきました。私たちのテンプレートの一部には、OWASPトップ 10 とその他のよく知られた脆弱性が含まれているため、脅威のモデリングを行うときは、これらの一般的な脆弱性のそれぞれに対処するための文書化されたプロセスがあることを常に確認しています。

例：

SQL インジェクション (Owasp A-1)

• 標準的な慣習
  • データへのアクセスが可能な場合は、ストアド パラメーター化プロシージャを使用する
  • ストアド プロシージャが実行できない場合は、パラメーター化されたクエリを使用します。(私たちが変更できないサードパーティの DB を使用)
  • 上記のオプションが実行できない場合にのみ、一重引用符をエスケープします
  • データベースのアクセス許可は、最小特権の原則に従って設計する必要があります
  • デフォルトでは、ユーザー/グループはアクセスできません
  • 開発中に、各オブジェクト (テーブル/ビュー/ストアド プロシージャ) に必要なアクセスと、アクセスに対するビジネス ニーズを文書化します。
  • [をちょきちょきと切る]

とにかく、Web サイトに固有の一般的に知られている脆弱性の出発点として、OWASP トップ 10 を使用しました。

（最後に質問へ）

まれに、Web アプリがニーズを満たさない場合に、WinForms または Windows サービス アプリケーションを開発します。WinForms アプリの一般的に知られているセキュリティ脆弱性の同等のリストがあるかどうか疑問に思っています。

頭のてっぺんから、いくつか思いつくことができます....

• SQL インジェクションは依然として懸念事項です。
• 通常、バッファー オーバーフローは CLR によって防止されますが、マネージ コードと混在する非マネージ コードを使用する場合は、より可能性が高くなります。
• .NET コードは逆コンパイルできるため、app.config で暗号化するのではなく、機密情報をコードに保存できます...

独自のリストを作成するために借用できるようなリスト、またはそのようなリストのいくつかのバージョンはありますか? もしそうなら、どこでそれを見つけることができますか?

私はそれを見つけることができませんでしたが、それがあれば、私たちだけでなく、他の WinForms 開発者にとっても大きな助けになるでしょう。

owasp-java-html-sanitizerを使用して、ユーザーが生成したhtmlでいくつかのタスクを実行することを計画しています。

HTML文字列からURLのリストを抽出したいと思います。

また、すべてのリンクのターゲットが「_blank」に設定されていることを確認したいと思います。これはHtmlPolicyBuilder.requireRelNofollowOnLinks構成に似ているようです。（終わり）

これはリンクに追加target="_blank"されますが、それを達成するための最良の方法はわかりません。

これにより、URLも抽出されます。

ここで悪化する問題があり、どんな助けも素晴らしいでしょう. 基本的に、クライアントの 1 つはセキュリティを強化し、OWASP (owasp.org) を実装しました。現在、既存のサイト機能の一部がポストバック時にセキュリティ違反を返しています。主要な問題の 1 つを Telerik RadTabStrip に絞り込みました。RadTabStrip ストリップを含むページがポスト バックすると、OWASP はセキュリティ違反を返します。残念ながら、ログにアクセスすることはできず、クライアントからいくつかのスニペットが提供されましたが、それらは SQL インジェクションに関連しており、ビュー ステートのパターン マッチングでもあるようです。

次に、4 つの RadTab/RadPageViews を持つ 1 つの RadTabStrip を含む空白のページを作成しました。それぞれにアルファベットの文字とポストバックする 1 つのボタンが含まれています。ボタンをクリックすると、セキュリティ違反がスローされました。したがって、私は、RadTab がポストバックしている何かで偽陽性を返していることを約 99.99% 確信しています。次に、既存のページの 1 つを変更して、RadTabs の代わりに JQuery タブを実装しました。これはうまくいきましたが、問題はこれがやや長いオーバーホールになることであり、そこにいる誰かが私にアイデアを持っていることを望んでいました. ここで、クライアントは OWASP セキュリティで例外を作成することを拒否することに注意してください。

現在、侵入テスト、特に SQL インジェクションに取り組んでいます。そのために、OWASP ZAP ツールを使用しています。構成後、Web アプリケーションをその ZAP ツールにトレースできますが、Web をトレースすることはできません。 IE8 で実行しているアプリケーション。実際、マニュアルにはIE8をサポートすると明記されていますが、できません。これに関するいくつかの提案を教えてください。

前もって感謝します。ケサバクマール 5 世

クロスサイトスクリプティングの問題に対処するのは初めてです。見つからないURLを出力する404ページがあり、私が学んだことから、JavaScriptが悪意を持って置き換えられる可能性があります。XSS攻撃を防ぐには、不正なURLの出力を削除するだけで十分ですか？または、OWASPライブラリを調べていたホワイトリストに対して入力を何らかの方法でフィルタリングする必要がありますか：https ：//www.owasp.org/index.php/Category：OWASP_Enterprise_Security_API

私はgitハブプロジェクトのソースコードで作業しようとしています:

https://github.com/esheri3/OWASP-CSRFGuard

ただし、私が使用しているjarには、次のようなマニフェストがあります。

サイトから取得した最新の jar には、次のようなマニフェストがあります。

最初のマニフェスト番号で jar を作成したコード ベース全体を取得する方法を知りたい: 3.0.0.503 最新のソース コードではなく、過去のバージョンです。必要に応じてシステムを構築および変更できるようにします。

Subversionの方がはるかに簡単だと思います。システムで git プロジェクトのクローンを作成したことに注意してください。システム情報: Windows 7、64 ビット msysgit 1.7.10 git 拡張機能がインストールされています

任意のポインタをいただければ幸いです。