- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络虚拟化
华为大佬讲述应用安全防护ESAPI
ESAPI库旨在使程序员更容易对现有应用程序进行安全性改造。ESAPI库也是新开发的坚实基础。 考虑到特定语言的差异,所有OWASP ESAPI版本都有相同的基本设计: 有一组安全控制接口。 ESAPI 框架 OWASP ESAPI 已经实现下面安全控件 身份认证 访问控制 输入验证 输出编码/转义 密码 错误处理和日志 通信安全 HTTP 安全 安全配置 ESAPI 框架 ESAPI 覆盖的 at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:129) at org.owasp.esapi.ESAPI.encoder(ESAPI.java (ESAPI.java:139) at org.owasp.esapi.ESAPI.getLogger(ESAPI.java:155) at org.owasp.esapi.reference.DefaultEncoder ) at org.owasp.esapi.util.ObjFactory.make(ObjFactory.java:84) at org.owasp.esapi.ESAPI.validator(ESAPI.java
86210编辑于 2024-02-22 - 来自专栏日拱一兵
预防XSS,这几招管用!
,关于如何引入 ESAPI,请看当前文章 ESAPI引入方式 部分内容,来看代码: ESAPI.encoder().canonicalize(value, false, false); 这段代码是 ESAPI = null) { // 使用 ESAPI 避免 encoded 的代码攻击 value = ESAPI.encoder().canonicalize(value, false ESAPI引入方式 ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码, 更多介绍请查看 OWASP 或 ESAPI github 使用 ESAPI,我们要引入相应的 jar 包 gradle 方式 compile group: 'org.owasp.esapi', name: 'esapi', version: '2.0.1' maven 方式 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <
77730发布于 2019-09-04 - 来自专栏啄木鸟软件测试
软件安全性测试(连载5)
ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。ESAPI主要支持JAVA语言。其使用方法可以参照网上介绍。 4展示的是ESAPI中哪些特殊符号在何种情况下需要转义;5表示ESAPI中特殊符号转义成什么字符。 (注OWASP ESAPI除了JAVA版本,还有ASP.NET、PHP、Python、JavaScript等多个版本,这里介绍的是JAVA版本)。 l ESAPI4JS:这是OWASP ESAPI的JavaScript版本,包括。 Ø encodeForHTML()。 Ø encodeForURL()。 l 输出编码,工具ESAPI4J或jQuery Encoder。 l 自动上下文转义,工具AngularJS。 l JavaScript安全编码。
1.4K20发布于 2019-12-23 - 来自专栏码农沉思录
预防XSS,这几招管用!
,关于如何引入 ESAPI,请看当前文章 ESAPI引入方式 部分内容,来看代码: ESAPI.encoder().canonicalize(value, false, false); 这段代码是 ESAPI = null) { // 使用 ESAPI 避免 encoded 的代码攻击 value = ESAPI.encoder().canonicalize(value, false ESAPI引入方式 ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码, 更多介绍请查看 OWASP 或 ESAPI github 使用 ESAPI,我们要引入相应的 jar 包 gradle 方式 compile group: 'org.owasp.esapi', name: 'esapi', version: '2.0.1' maven 方式 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <
1.3K50发布于 2019-09-19 - 来自专栏程序员泥瓦匠
Web 安全:预防 XSS,这几招管用!
,关于如何引入 ESAPI,请看当前文章 ESAPI引入方式 部分内容,来看代码: ESAPI.encoder().canonicalize(value, false, false); 这段代码是 ESAPI = null) { // 使用 ESAPI 避免 encoded 的代码攻击 value = ESAPI.encoder().canonicalize(value, false ESAPI引入方式 ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码, 更多介绍请查看 OWASP 或 ESAPI github 使用 ESAPI,我们要引入相应的 jar 包 gradle 方式 compile group: 'org.owasp.esapi', name: 'esapi', version: '2.0.1' maven 方式 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <
43810编辑于 2021-12-17 - 来自专栏IT技术精选文摘
10个最重大的Web应用风险与攻防
先来看几个出现安全问题的例子 OWASP TOP10 开发为什么要知道OWASP TOP10 TOP1-注入 TOP1-注入的示例 TOP1-注入的防范 TOP1-使用ESAPI(https://github.com /ESAPI/esapi-java-legacy) TOP2-失效的身份认证和会话管理 TOP2-举例 TOP3-跨站 TOP3-防范 TOP3-复杂的 HTML 代码提交,如何处理? TOP4-不安全的对象直接引用 TOP4-防范 TOP5-伪造跨站请求(CSRF) TOP5-案例 TOP5-防范 TOP5-使用ESAPI防范 TOP6-安全误配置 TOP6-案例 TOP6-防范 TOP7
1.2K101发布于 2018-01-30 - 来自专栏程序员泥瓦匠
XSS必备“防身术”!
,关于如何引入 ESAPI,请看当前文章 ESAPI引入方式 部分内容,来看代码: ESAPI.encoder().canonicalize(value, false, false); 这段代码是 ESAPI = null) { // 使用 ESAPI 避免 encoded 的代码攻击 value = ESAPI.encoder().canonicalize(value, false ESAPI引入方式 ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码, 更多介绍请查看 OWASP 或 ESAPI github 使用 ESAPI,我们要引入相应的 jar 包 gradle 方式 compile group: 'org.owasp.esapi', name: 'esapi', version: '2.0.1' maven 方式 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <
42820编辑于 2021-12-17 - 来自专栏全栈程序员必看
一个反射型XSS例子的解析
org.apache.commons.lang.StringEscapeUtils"%> <%@ page import="java.net.URLDecoder,java.net.URLEncoder"%> <%@ page import="org.owasp.<em>esapi</em>.<em>ESAPI</em> 下面我们来看怎么防止这种XSS.commons-lang和OWASP的<em>ESAPI</em>都提供了工具类。 <em>ESAPI</em>.encoder().encodeForJavaScript会对所有非数字和非英文字符的字符进行编码,对宽字节字符 进行unicode编码,对其他字符进行\x+十六进制编码。 StringEscapeUtils.escapeHtml和<em>ESAPI</em>.encoder().encodeForHTML可以帮助我们完成这个功能. ().encodeForJavaScript( <em>ESAPI</em>.encoder().encodeForHTML(request.getParameter("param"))); %> <script> var
77910编辑于 2022-08-22 - 来自专栏Nicky's blog
用友NC系列之UAP运行时报escpi错误解决方法
平台时,点击节点,console抛出escpi错误,原因是加载不到escpi,我们点击窗口的运行,选择调试配置,选择项目名称_server,然后选择自变量配置,在vm自变量里加入 -Dorg.owasp.esapi.resources =${FIELD_NC_HOME}/ierp/bin/esapi 点击应用,保存,重启UAP就可以成功运行了
50810编辑于 2022-05-07 - 来自专栏全栈程序员必看
web渗透测试—-33、HttpOnly[通俗易懂]
更好的解决方法是处理先前设置的标志或使用ESAPI#Java_EE库,我们可以编写一个 servlet 过滤器,如下所示:SecurityWrapperResponse public void doFilter = null) { // ESAPI.securityConfiguration().getHttpSessionIdName() returns JSESSIONID by default configuration if (ESAPI.securityConfiguration().getHttpSessionIdName().equals Web 应用程序防火墙: 如果代码更改不可行,可以使用 Web 应用程序防火墙将 HttpOnly 添加到会话 cookie: Mod_security - 使用 SecRule 和 Header ESAPI
3.3K30编辑于 2022-09-07 - 来自专栏Nicky's blog
用友UAP运行时报escpi错误解决方案
平台时,点击节点,console抛出escpi错误,原因是加载不到escpi,我们点击窗口的运行,选择调试配置,选择项目名称_server,然后选择自变量配置,在vm自变量里加入 -Dorg.owasp.esapi.resources =${FIELD_NC_HOME}/ierp/bin/esapi 点击应用,保存,重启UAP就可以成功运行了 ?
72820发布于 2019-01-17 - 来自专栏FreeBuf
Fortify Sca自定义扫描规则
编码规范 尽量使用fortify官方认可的安全库函数,如ESAPI,使用ESAPI后fortify sca会把漏洞标记为低危,是可以忽略的漏洞类型。 以下是对常见漏洞的安全库函数 1).xss org.owasp.esapi.Encoder/Encoding/Escapefrom 2). 文件路径操纵 org.owasp.esapi.getValidDirectoryPathororg.owasp.esapi.getValidFilename 3). SQL注入 org.owasp.esapi.Encoder.encodeForSQLorg.apache.commons.lang.StringEscapeUtils.escapeSql 4). 命令注入 org.owasp.esapi.Encoder.encodeForOS 2. 使用注解(针对java) 如果我们用过SonarQube,我们会发现有两种修改代码的方式来解决误报。
5.2K10发布于 2020-02-20 - 来自专栏大数据学习笔记
ElasticSearch 6.x 学习笔记:23.Java API之Maven项目
maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>cn.hadron</groupId> <artifactId>esapi </artifactId> <version>1.0-SNAPSHOT</version> <packaging>jar</packaging> <name>esapi</name> <
50320编辑于 2022-05-06 - 来自专栏GopherCoder
源码学啥子嘛?接口、组合
最后所有 RESTful 请求进行组合:esapi/api._.go type API struct { Cat *Cat Cluster *Cluster 这层 esapi 层的 API 和 estransport 层的 Interface 组合起来。 type Client struct { *esapi.API // Embeds the API methods Transport estransport.Interface } 明明 esapi 层和 estransport 层就可以完成任务啊? 简单的说:esapi 和 estransport 配合使用的方式,最后的调用结果像这样: req := esapi.IndexRequest{ Index
78310发布于 2020-01-02 - 来自专栏Coding实践
Go语言操作Elastic Search v8客户端
fmt" "testing" "github.com/elastic/go-elasticsearch/v8" "github.com/elastic/go-elasticsearch/v8/esapi = nil { fmt.Println(err) return } indexReq := esapi.IndexRequest{ Index: StudentIndex = nil { fmt.Println(err) return } updateReq := esapi.UpdateRequest{ Index: StudentIndex TestDelete(t *testing.T) { InitElastic() stu := Student{ Id: "student_3", } deleteReq := esapi.DeleteRequest
1.3K10编辑于 2024-02-16 - 来自专栏啄木鸟软件测试
软件安全性测试(连载6)
13 CSRF Token技术 ESAPI提供了ESAPI.httpUtilities().getCSEFToken来获取token值,通过调用ESAPI.randomizer().getRandomString
83020发布于 2019-12-23 - 来自专栏blog-技术博客
ElasticSearch
RestClient.builder(new HttpHost("localhost",9200,"http")) ); } } package top.dean0731.esapi org.springframework.beans.factory.annotation.Qualifier; import org.springframework.boot.test.context.SpringBootTest; import top.dean0731.esapi.pojo.User java.util.concurrent.TimeUnit; /** * @author Administrator * @Title: ElasticSearchTest * @Package top.dean0731.esapi
69210发布于 2021-03-05 - 来自专栏仙士可博客
elasticsearch学习二:导入数据
req := esapi.IndexRequest{ Index: "test", DocumentID: strconv.Itoa(id), Body: json" "fmt" "github.com/elastic/go-elasticsearch/v7" "github.com/elastic/go-elasticsearch/v7/esapi req := esapi.IndexRequest{ Index: "test", DocumentID: strconv.Itoa(id), Body:
87730编辑于 2022-06-12 - 来自专栏服务化进程
springboot经验之sql注入、xss注入拦截(POST)
= null) { // NOTE: It's highly recommended to use the ESAPI library and // uncomment the following line to // avoid encoded attacks. // value = ESAPI.encoder().canonicalize = null) { // NOTE: It's highly recommended to use the ESAPI library and // uncomment the following line to // avoid encoded attacks. // value = ESAPI.encoder().canonicalize
5.1K21发布于 2020-02-18 - 来自专栏啄木鸟软件测试
软件安全性测试(连载12)
再来看一下OWASP 的ESAPI函数是如何来实现XML转义的。 过滤可以在客户端和服务端两边实现,如果可能的话,建议两者同时进行过滤OWASP的ESAPI提供了encodeForXPATH()方法。 对上面的。 String encode_xpath = ESAPI.encode().encodeForXPATH("username/text()='jerry'andpassword/text()=' or \
89020发布于 2020-02-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号