問題タブ [owasp]

履歴書のコンテンツをテキストとして受け入れ、コンテンツを処理する必要があります。ESAPI.validator().isValidInput処理する前に、履歴書の内容を検証して、悪意のあるコードが含まれていないことを確認するために使用することを考えました。のパラメータの1つはisValidInput、入力に対して検証される正規表現です。履歴書の内容の正規表現を書くのを手伝ってください。

OWASPトップ10プロジェクトは2010年以降更新されていませんか？

OWASPの次のサイトを見てみると、これが当てはまる可能性があることがわかります。https ://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

私の会社はOWASPコンプライアンスを大いに活用しているので、最新の状態になっていることを確認したいだけですか？

セキュアコーディングのベストプラクティス（特にJavaアプリ用）の学習に興味があり、OWASPのセキュアコーディングプラクティスのチェックリストを読んでいます。彼らのメモリ管理セクションの下で、彼らは次のように述べています：

既知の脆弱な関数（、、、など）の使用は避けprintfてstrcatくださいstrcpy。

私はC/C ++開発者ではありませんが、これは上記の関数にセキュリティの脆弱性があることを意味しているに違いありません。私は脆弱なJavaメソッドをいくつか検索しましたが、思いついたのはこのCVEだけでした。

OWASPからのこのアドバイザリに適用されるJavaSE/ EEメソッド（存在する場合）は何ですか？

いくつかのClassicASPアプリでOWASPを使用しようとしていますが、ステップバイステップのように、その方法について多くの情報が見つかりませんでした。

サイトはスタートアップポイントであるように見えます：https ：//www.owasp.org/index.php/Classic_ASP_Security_Projectしかし、誰かがビデオを持っていますか、それともステップバイステップですか？

本当にありがたいです。

OWASP ESAPI ライブラリを評価しようとしましたが、適切に初期化するだけで問題が発生しました。ESAPI.properties と validation.properties のリソース フォルダーを設定すると、これらは問題なくクラスパスから読み込まれます。ただし、antisamy-esapi.xml ファイルはクラスパスから読み込まれません。2010 年にこれに関するバグが見つかりました。私が得るエラーは次のとおりです。

ファイル I/O を介してリソース ファイルとして antisamy-esapi.xml を読み込もうとしています。「org.owasp.esapi.resources」ディレクトリに見つからないか、読み取れないファイル: C:\Users\mydir\resin-pro-4.0.27\antisamy-esapi.xml SystemResource ディレクトリ/resourceDirectory に見つかりません: .esapi\antisamy -esapi.xml 'user.home' (C:\Users\mydir) ディレクトリに見つかりません: C:\Users\mydir\esapi\antisamy-esapi.xml

このライブラリを使ったアプリケーションをresinにデプロイしています。上記のすべての場所に xml ファイルを手動で配置しようとしましたが、最終的に機能したのはホーム ディレクトリだけでした。これは、運用展開ではうまく機能しません。

また、 -Dorg.owasp.esapi.resources プロパティを設定するように指示されている、他の場所で見つかった推奨事項に従いました。これもうまくいきませんでしたが、さらに興味深いことに、エラーは変化しませんでした。これは、何らかの理由で設定が取得されなかったと思わせます。

コンテナにデプロイされた後に適切にロードされるように、このファイルをプロジェクト内のどこに配置する必要があるかについてのポインタはありますか?

前もって感謝します。

アップデート：

したがって、コードを掘り下げると、ESAPI.properties をロードするための特殊な関数があるように見えます。これが、コンテナーにデプロイされた標準リソース (またはその他の src dir) ディレクトリからそのファイルをロードできる理由です。ただし、antisamy-esapi.xml の読み込み関数は、user.home の下の特定のディレクトリ、構成されたカスタム ディレクトリ、または ClassLoader.getSystemResource() の結果を介してチェックするだけです。これらのルーチンが分離されている理由がわかりません。これを何時間もいじった後、我慢できなくなり、DefaultSecurityConfiguration.java をコピーし、getResourceFile() メソッドを修正して、loadConfigurationFromClasspath() と同じ検索コードを使用するようにしました。次に、このクラスで ESAPI.override() を呼び出すと、正しく動作するようになりました。

次のようなクエリがあります。

select * from tablename where username='value1' and password='value2';

次のフィールドに設定した場合：

次に、管理者として Web サイトにサインインします。

ここで、クエリを SQL に挿入する場合は、ユーザー名フィールドに value を入力します
'or 1=1。その後、クエリは次のように実行されます。

select * from tablename where username ='' or 1=1

この後のすべてを想定すると、クエリは正常に実行されます。

私の質問は上記の例に基づいています。どのユーザーとしてログインしますか?

As:
   1. 管理者
   2. またはテーブルの最初の行?
   3. または他のユーザーとその方法は?

OWASP Html Sanitizer を使用して、Web アプリへの XSS 攻撃を防ぎます。プレーン テキストである必要がある多くのフィールドで、サニタイザーは予想以上のことを行っています。

例えば：

データベースに間違ったデータが入ってしまう+など、メールアドレスなどのフィールドがある場合。foo+bar@gmail.com2つの質問：

1. などの文字+ - @はそれ自体で危険ですか? 本当にエンコードする必要がありますか?
2. + - @ などの特定の文字を許可するように OWASP html サニタイザーを構成するにはどうすればよいですか?

質問 2 は、私が回答を得るためのより重要な質問です。

ESAPI.override()を使用して、ESAPI OWASP ライブラリの既存のメソッドをオーバーライドしようとしています。なぜかうまくいきません、なぜだか分かりますか？

ここに私のコード：

ユーザーがログインした後のセッションハイジャックを回避するには、ログインプロセス中に、実際に正当なユーザーであることを検証するためにどのような情報を信頼できますか。中継するセッションを傍受した人が無効になるように

彼らのIPアドレスとブラウザ情報はそれで十分ですか？

非表示の一時ファイルが作成される可能性があるため、サーバー上でファイルを直接編集することはセキュリティ対策として不適切であるという記事を読んだことを覚えています。これらのファイルを検索することはできますか? find / -name .* を考えていましたが、「パスは式の前にある必要があります: ..」が返され、elvis または nano によって作成された可能性のあるすべてのファイルが含まれるかどうかわかりません。