ESAPI: WARNING: System property org.owasp.esapi.opsteam is not set ESAPI: WARNING: System property org.owasp.esapi.devteam is not set ESAPI: Attempti ...
ESAPI: WARNING: System property org.owasp.esapi.opsteam is not set ESAPI: WARNING: System property org.owasp.esapi.devteam is not set ESAPI: Attempti ...
我将 esapi 版本从 2.2.0.0 升级到 2.5.1.0。 我更新了 esapi 属性文件,添加了 esapi-java-logging.properties 文件,但仍然抛出错误,如无法定位资源:esapi-java-logging.properties 试图解决这个错误 ...
最近在扫描我们的项目后,我们可以看到关于 CRLF 中和的 Veracode 警告。 请在下面找到我的错误代码。 在下面的问题上解决问题 response.addCookie(c[i]); 尝试过的解决方案: 1. setValue("")尝试用 \r 或 \n 替换 2. 使用Encode.for ...
“ java.lang.NoClassDefFoundError: org.owasp.esapi.reference.DefaultValidator(初始化失败)org.owasp.esapi.reference.DefaultValidator(初始化失败)”。 调试日志如下: 文本 ...
尝试在我们的 Java Web 应用程序中使用ESAPI 验证,我们得到下一个异常: 我们用: esapi-2.2.3.0.jar log4j-1.2-api-2.12.4.jar log4j-api-2.12.4.jar log4j-core-2.12.4.jar 以及ESA ...
得到 在我的一个项目中将 ESAPI 依赖项从 2.1.0.1 更新到 2.4.0.0 之后。 虽然当我在另一个项目中尝试类似方法时,我能够通过删除以前版本的依赖关系来删除另一个项目中的这个错误,但它仍然给出错误。 尝试了 maven clean install 、 maven update 和 ...
我正在阅读 ESAPI 不再处于开发阶段。 此外,我发现很难找到一个强大的 ESAPI 文档来指导如何逐步集成它。 是否有任何替代库或项目可以用来保护我的应用程序,比如 OWASP 的前 10 个漏洞。 注意:我正在开发一种 POC,以后可能会转换为企业应用程序 ...
我正在使用 ESAPI 下载文件(出于安全原因,只接受 ESAPI)。 所以请找到我下面的代码。 当我点击下载时,下载的文件带有正确的内容,但文件扩展名和文件名不可接受。 示例:当我单击以下 url 时:http://localhost:8080/searchTest 上述情况下的预期文件名:tes ...
大家好, 我将 ESAPI 库升级到 2.2.3.1 版本。 我们的应用程序使用 log4j 1.2.17 作为记录器。 由于 log4j.1X 在最新版本中已贬值,我们需要使用 slf4j loggerfactory。下面是更改 gradle 文件-更新esapi版本 ESAPI.属性 还添加 ...
我运行我的应用程序进行 static 分析,因为下面一行我有缺陷 response.sendRedirect(location.toString) 我尝试使用 ESAPI 输入验证器,如下所示 if(.ESAPI.validator(),isValidRedirectLocation(string ...
我使用Runtime.getRuntime().exec()或ProcessBuilder在我的 Java 应用程序中调用外部命令。 工作正常,但 Veracode 使用CWE-78抱怨它。 我正在尝试使用ESAPI包装器来清理输入和路径检查。 神器是最新的 ESAPI.properties是 ...
我目前有一个使用 SLF4J/LoggerFactory 捕获日志的程序,配置是通过 logback.xml 完成的。 我的日志按预期工作。 最近,安全团队在我的工作中指示我更新使用 ESAPI 的 class。 我更新了 class 并将ESAPI.properties和validation.pr ...
我正在尝试通过使用 lombok extern Slf4j 记录它来获取异常详细信息。 但是在覆盖率扫描中发现了一个问题,如下所示。 这是一个安全审计发现。 CID 227846(第 1 个,共 1 个):日志注入 (LOG_INJECTION)。 受污染的字符串 ex 存储在日志中。 这可能允许 ...
在我的应用程序中使用以下代码生成 excel 文件作为 API 响应 header 的附件。 应用代码: 由于漏洞问题更改为 ESAPI 2.2.3.1 并排除 log4J 并在 ESAPI.Properties 中添加以下行ESAPI.Logger=org.owasp.esapi.logging. ...
我需要设置这个库来编码 SQL 查询。 在我的 Spring 引导应用程序(第 11 个 Java)中,我向 POM.xml 添加了以下依赖项: 向资源中添加了 ESAPI.properties 文件,其中包含以下内容: 在单元测试执行期间,我发现了这个异常: 顺便说一句,我使用 logback ...
我一直在阅读有关反射型 XSS 预防的文章。 据我了解,output编码是处理反射型XSS的主要方式。 一些可用的工具是 OWASP Java 编码器项目和 OWASP ESAPI。 我有一个 java/JSP web 应用程序。 当相应的.java 文件中已经存在输入验证时,我不确定是否也应该对 ...
我有一个带有两个不同 Web 应用程序的 9 服务器,每个应用程序都有 esapi 2.1 库及其 ESAPI.properties 和 validation.properties 文件: 在应用程序 B 中,validation.properties 文件具有应用程序 A 中没有的验证,当应用 ...
我们使用 Veracode 静态代码分析来查找和修复代码漏洞。 一个反复出现的主题是,他们引用ESAPI作为修复它们的推荐解决方案,例如 CW117( 如何修复 Veracode CWE 117(日志的不当输出中和) ) 但是,我真的不明白拥有一个单独的库的意义,该库除了作为其他库之上的某种安全层 ...
我正在使用 ESAPI 2.2.3.1 并尝试运行此代码。 我更改了 ESAPI.properties 中的 App Name 和 Validator.Redirect。 当我调用代码时,我得到了下面的异常,我缺少什么才能使它工作? ESAPI:尝试通过类路径加载 ESAPI.prop ...