标签[esapi] - 堆栈内存溢出

尝试使用 ESAPI 但出现 ConfigurationException 错误 - Trying to Use ESAPI but getting Error as ConfigurationException

ESAPI: WARNING: System property org.owasp.esapi.opsteam is not set ESAPI: WARNING: System property org.owasp.esapi.devteam is not set ESAPI: Attempti ...

无法定位资源：esapi-java-logging.properties - unable to locate resource: esapi-java-logging.properties

我将 esapi 版本从 2.2.0.0 升级到 2.5.1.0。我更新了 esapi 属性文件，添加了 esapi-java-logging.properties 文件，但仍然抛出错误，如无法定位资源：esapi-java-logging.properties 试图解决这个错误 ...

VERACODE：Cookies - JAVA 的 CRLF 中和警告 - VERACODE: CRLF Neutralization Warnings for Cookies - JAVA

最近在扫描我们的项目后，我们可以看到关于 CRLF 中和的 Veracode 警告。请在下面找到我的错误代码。在下面的问题上解决问题 response.addCookie(c[i]); 尝试过的解决方案： 1. setValue("")尝试用 \r 或 \n 替换 2. 使用Encode.for ...

ESAPI 2.3.0.0 jar 报告 NoClassDefFound 错误 - NoClassDefFound Error reported for ESAPI 2.3.0.0 jar

“ java.lang.NoClassDefFoundError: org.owasp.esapi.reference.DefaultValidator（初始化失败）org.owasp.esapi.reference.DefaultValidator（初始化失败）”。调试日志如下：文本 ...

ESAPI.clearCurrent() 中的异常；不知道 ESAPI.Logger 使用什么 - Exception in ESAPI.clearCurrent(); Dont know what ESAPI.Logger use

尝试在我们的 Java Web 应用程序中使用ESAPI 验证，我们得到下一个异常：我们用： esapi-2.2.3.0.jar log4j-1.2-api-2.12.4.jar log4j-api-2.12.4.jar log4j-core-2.12.4.jar 以及ESA ...

更新 ESAPI 依赖后，Java Spring Boot 2.6.7 无法加载 ESAPI.properties 错误 - Failed To Load ESAPI.properties Error In Java Spring Boot 2.6.7 After Updating The ESAPI Dependancy

得到在我的一个项目中将 ESAPI 依赖项从 2.1.0.1 更新到 2.4.0.0 之后。虽然当我在另一个项目中尝试类似方法时，我能够通过删除以前版本的依赖关系来删除另一个项目中的这个错误，但它仍然给出错误。尝试了 maven clean install 、 maven update 和 ...

2022 年 ESAPI 的其他替代方案是什么。我正在使用 Springboot 与 WebFlux 和 ReactiveMongo - What are other alternatives to ESAPI in 2022. I am using Springboot with WebFlux and ReactiveMongo

我正在阅读 ESAPI 不再处于开发阶段。此外，我发现很难找到一个强大的 ESAPI 文档来指导如何逐步集成它。是否有任何替代库或项目可以用来保护我的应用程序，比如 OWASP 的前 10 个漏洞。注意：我正在开发一种 POC，以后可能会转换为企业应用程序 ...

文件下载在使用 ESAPI 库时不起作用 - File download is not working in using the ESAPI library

我正在使用 ESAPI 下载文件（出于安全原因，只接受 ESAPI）。所以请找到我下面的代码。当我点击下载时，下载的文件带有正确的内容，但文件扩展名和文件名不可接受。示例：当我单击以下 url 时：http://localhost:8080/searchTest 上述情况下的预期文件名：tes ...

修复打开直接问题是java - Fix open direct issue is java

我有以下代码，其中 veracode 安全扫描显示打开的重定向缺陷我试过了但仍然没有工作。 ...

ESAPI 升级到 2.2.3.1- 获取 ClassNotFoundException 以及如何使用 slf4j 而不是 log4j1.x - ESAPI upgraded to 2.2.3.1- getting ClassNotFoundException and how to use slf4j instead of log4j1.x

大家好，我将 ESAPI 库升级到 2.2.3.1 版本。我们的应用程序使用 log4j 1.2.17 作为记录器。由于 log4j.1X 在最新版本中已贬值，我们需要使用 slf4j loggerfactory。下面是更改 gradle 文件-更新esapi版本 ESAPI.属性还添加 ...

安全扫描 - sendRedirect() 的开放重定向缺陷； - Security scan - open redirect flaw for sendRedirect();

我运行我的应用程序进行 static 分析，因为下面一行我有缺陷 response.sendRedirect(location.toString) 我尝试使用 ESAPI 输入验证器，如下所示 if(.ESAPI.validator(),isValidRedirectLocation(string ...

ESAPI executeSystemCommand 应该如何正确清理文件路径以满足 Veracode 检查？ - How should ESAPI executeSystemCommand sanitise the file path properly to satisfy Veracode check?

我使用Runtime.getRuntime().exec()或ProcessBuilder在我的 Java 应用程序中调用外部命令。工作正常，但 Veracode 使用CWE-78抱怨它。我正在尝试使用ESAPI包装器来清理输入和路径检查。神器是最新的 ESAPI.properties是 ...

OWASP ESAPI 和 SLF4J/Logback 设置 - OWASP ESAPI and SLF4J/Logback setup

我目前有一个使用 SLF4J/LoggerFactory 捕获日志的程序，配置是通过 logback.xml 完成的。我的日志按预期工作。最近，安全团队在我的工作中指示我更新使用 ESAPI 的 class。我更新了 class 并将ESAPI.properties和validation.pr ...

如何解决 java spring 启动应用程序中的安全审计发现日志注入 - How to resolve security audit finding log injection in java spring boot application

我正在尝试通过使用 lombok extern Slf4j 记录它来获取异常详细信息。但是在覆盖率扫描中发现了一个问题，如下所示。这是一个安全审计发现。 CID 227846（第 1 个，共 1 个）：日志注入 (LOG_INJECTION)。受污染的字符串 ex 存储在日志中。这可能允许 ...

ESAPI 记录器抛出 org.owasp.esapi.errors.ConfigurationException：HttpUtilities.MaxHeaderNameSize 的 SecurityConfiguration 类型不正确 - ESAPI Logger throwing org.owasp.esapi.errors.ConfigurationException: SecurityConfiguration for HttpUtilities.MaxHeaderNameSize has incorrect type

在我的应用程序中使用以下代码生成 excel 文件作为 API 响应 header 的附件。应用代码：由于漏洞问题更改为 ESAPI 2.2.3.1 并排除 log4J 并在 ESAPI.Properties 中添加以下行ESAPI.Logger=org.owasp.esapi.logging. ...

无法启动 OWASP.ESAPI 库。配置问题？ - Cannot make the OWASP.ESAPI library to start up. Configuration issue?

我需要设置这个库来编码 SQL 查询。在我的 Spring 引导应用程序（第 11 个 Java）中，我向 POM.xml 添加了以下依赖项：向资源中添加了 ESAPI.properties 文件，其中包含以下内容：在单元测试执行期间，我发现了这个异常：顺便说一句，我使用 logback ...

OWASP Java 编码器项目是否足以防止反射 XSS？ - Is OWASP Java Encoder Project enough to prevent reflected XSS?

我一直在阅读有关反射型 XSS 预防的文章。据我了解，output编码是处理反射型XSS的主要方式。一些可用的工具是 OWASP Java 编码器项目和 OWASP ESAPI。我有一个 java/JSP web 应用程序。当相应的.java 文件中已经存在输入验证时，我不确定是否也应该对 ...

两个 webproject esapi 错误：未通过 ESAPI 验证配置设置所选类型 - two webproject esapi error: The selected type was not set via the ESAPI validation configuration

我有一个带有两个不同 Web 应用程序的 9 服务器，每个应用程序都有 esapi 2.1 库及其 ESAPI.properties 和 validation.properties 文件：在应用程序 B 中，validation.properties 文件具有应用程序 A 中没有的验证，当应用 ...

ESAPI 的目的是什么？ - What is the purpose of ESAPI?

我们使用 Veracode 静态代码分析来查找和修复代码漏洞。一个反复出现的主题是，他们引用ESAPI作为修复它们的推荐解决方案，例如 CW117（如何修复 Veracode CWE 117（日志的不当输出中和））但是，我真的不明白拥有一个单独的库的意义，该库除了作为其他库之上的某种安全层 ...

ESAPI 2.2.3.1 使用 httpUtilities 时抛出 org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException - ESAPI 2.2.3.1 throwing org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException when using httpUtilities

我正在使用 ESAPI 2.2.3.1 并尝试运行此代码。我更改了 ESAPI.properties 中的 App Name 和 Validator.Redirect。当我调用代码时，我得到了下面的异常，我缺少什么才能使它工作？ ESAPI：尝试通过类路径加载 ESAPI.prop ...