嘗試使用 ESAPI 但出現 ConfigurationException 錯誤
[英]Trying to Use ESAPI but getting Error as ConfigurationException
ESAPI: WARNING: System property org.owasp.esapi.opsteam is not set ESAPI: WARNING: System property org.owasp.esapi.devteam is not set ESAPI: Attempti ...
無法定位資源:esapi-java-logging.properties
[英]unable to locate resource: esapi-java-logging.properties
我將 esapi 版本從 2.2.0.0 升級到 2.5.1.0。 我更新了 esapi 屬性文件,添加了 esapi-java-logging.properties 文件,但仍然拋出錯誤,如無法定位資源:esapi-java-logging.properties 試圖解決這個錯誤 ...
VERACODE:Cookies - JAVA 的 CRLF 中和警告
[英]VERACODE: CRLF Neutralization Warnings for Cookies - JAVA
最近在掃描我們的項目后,我們可以看到關於 CRLF 中和的 Veracode 警告。 請在下面找到我的錯誤代碼。 在下面的問題上解決問題 response.addCookie(c[i]); 嘗試過的解決方案: 1. setValue("")嘗試用 \r 或 \n 替換 2. 使用Encode.for ...
ESAPI 2.3.0.0 jar 報告 NoClassDefFound 錯誤
[英]NoClassDefFound Error reported for ESAPI 2.3.0.0 jar
“ java.lang.NoClassDefFoundError: org.owasp.esapi.reference.DefaultValidator(初始化失敗)org.owasp.esapi.reference.DefaultValidator(初始化失敗)”。 調試日志如下: 文本 ...
ESAPI.clearCurrent() 中的異常; 不知道 ESAPI.Logger 使用什么
[英]Exception in ESAPI.clearCurrent(); Dont know what ESAPI.Logger use
嘗試在我們的 Java Web 應用程序中使用ESAPI 驗證,我們得到下一個異常: 我們用: esapi-2.2.3.0.jar log4j-1.2-api-2.12.4.jar log4j-api-2.12.4.jar log4j-core-2.12.4.jar 以及ESA ...
更新 ESAPI 依賴后,Java Spring Boot 2.6.7 無法加載 ESAPI.properties 錯誤
[英]Failed To Load ESAPI.properties Error In Java Spring Boot 2.6.7 After Updating The ESAPI Dependancy
得到 在我的一個項目中將 ESAPI 依賴項從 2.1.0.1 更新到 2.4.0.0 之后。 雖然當我在另一個項目中嘗試類似方法時,我能夠通過刪除以前版本的依賴關系來刪除另一個項目中的這個錯誤,但它仍然給出錯誤。 嘗試了 maven clean install 、 maven update 和 ...
2022 年 ESAPI 的其他替代方案是什么。我正在使用 Springboot 與 WebFlux 和 ReactiveMongo
[英]What are other alternatives to ESAPI in 2022. I am using Springboot with WebFlux and ReactiveMongo
我正在閱讀 ESAPI 不再處於開發階段。 此外,我發現很難找到一個強大的 ESAPI 文檔來指導如何逐步集成它。 是否有任何替代庫或項目可以用來保護我的應用程序,比如 OWASP 的前 10 個漏洞。 注意:我正在開發一種 POC,以后可能會轉換為企業應用程序 ...
文件下載在使用 ESAPI 庫時不起作用
[英]File download is not working in using the ESAPI library
我正在使用 ESAPI 下載文件(出於安全原因,只接受 ESAPI)。 所以請找到我下面的代碼。 當我點擊下載時,下載的文件帶有正確的內容,但文件擴展名和文件名不可接受。 示例:當我單擊以下 url 時:http://localhost:8080/searchTest 上述情況下的預期文件名:tes ...
ESAPI 升級到 2.2.3.1- 獲取 ClassNotFoundException 以及如何使用 slf4j 而不是 log4j1.x
[英]ESAPI upgraded to 2.2.3.1- getting ClassNotFoundException and how to use slf4j instead of log4j1.x
大家好, 我將 ESAPI 庫升級到 2.2.3.1 版本。 我們的應用程序使用 log4j 1.2.17 作為記錄器。 由於 log4j.1X 在最新版本中已貶值,我們需要使用 slf4j loggerfactory。下面是更改 gradle 文件-更新esapi版本 ESAPI.屬性 還添加 ...
安全掃描 - sendRedirect() 的開放重定向缺陷;
[英]Security scan - open redirect flaw for sendRedirect();
我運行我的應用程序進行 static 分析,因為下面一行我有缺陷 response.sendRedirect(location.toString) 我嘗試使用 ESAPI 輸入驗證器,如下所示 if(.ESAPI.validator(),isValidRedirectLocation(string ...
ESAPI executeSystemCommand 應該如何正確清理文件路徑以滿足 Veracode 檢查?
[英]How should ESAPI executeSystemCommand sanitise the file path properly to satisfy Veracode check?
我使用Runtime.getRuntime().exec()或ProcessBuilder在我的 Java 應用程序中調用外部命令。 工作正常,但 Veracode 使用CWE-78抱怨它。 我正在嘗試使用ESAPI包裝器來清理輸入和路徑檢查。 神器是最新的 ESAPI.properties是 ...
OWASP ESAPI 和 SLF4J/Logback 設置
[英]OWASP ESAPI and SLF4J/Logback setup
我目前有一個使用 SLF4J/LoggerFactory 捕獲日志的程序,配置是通過 logback.xml 完成的。 我的日志按預期工作。 最近,安全團隊在我的工作中指示我更新使用 ESAPI 的 class。 我更新了 class 並將ESAPI.properties和validation.pr ...
如何解決 java spring 啟動應用程序中的安全審計發現日志注入
[英]How to resolve security audit finding log injection in java spring boot application
我正在嘗試通過使用 lombok extern Slf4j 記錄它來獲取異常詳細信息。 但是在覆蓋率掃描中發現了一個問題,如下所示。 這是一個安全審計發現。 CID 227846(第 1 個,共 1 個):日志注入 (LOG_INJECTION)。 受污染的字符串 ex 存儲在日志中。 這可能允許 ...
ESAPI 記錄器拋出 org.owasp.esapi.errors.ConfigurationException:HttpUtilities.MaxHeaderNameSize 的 SecurityConfiguration 類型不正確
[英]ESAPI Logger throwing org.owasp.esapi.errors.ConfigurationException: SecurityConfiguration for HttpUtilities.MaxHeaderNameSize has incorrect type
在我的應用程序中使用以下代碼生成 excel 文件作為 API 響應 header 的附件。 應用代碼: 由於漏洞問題更改為 ESAPI 2.2.3.1 並排除 log4J 並在 ESAPI.Properties 中添加以下行ESAPI.Logger=org.owasp.esapi.logging. ...
無法啟動 OWASP.ESAPI 庫。 配置問題?
[英]Cannot make the OWASP.ESAPI library to start up. Configuration issue?
我需要設置這個庫來編碼 SQL 查詢。 在我的 Spring 引導應用程序(第 11 個 Java)中,我向 POM.xml 添加了以下依賴項: 向資源中添加了 ESAPI.properties 文件,其中包含以下內容: 在單元測試執行期間,我發現了這個異常: 順便說一句,我使用 logback ...
OWASP Java 編碼器項目是否足以防止反射 XSS?
[英]Is OWASP Java Encoder Project enough to prevent reflected XSS?
我一直在閱讀有關反射型 XSS 預防的文章。 據我了解,output編碼是處理反射型XSS的主要方式。 一些可用的工具是 OWASP Java 編碼器項目和 OWASP ESAPI。 我有一個 java/JSP web 應用程序。 當相應的.java 文件中已經存在輸入驗證時,我不確定是否也應該對 ...
兩個 webproject esapi 錯誤:未通過 ESAPI 驗證配置設置所選類型
[英]two webproject esapi error: The selected type was not set via the ESAPI validation configuration
我有一個帶有兩個不同 Web 應用程序的 9 服務器,每個應用程序都有 esapi 2.1 庫及其 ESAPI.properties 和 validation.properties 文件: 在應用程序 B 中,validation.properties 文件具有應用程序 A 中沒有的驗證,當應用 ...
ESAPI 的目的是什么?
[英]What is the purpose of ESAPI?
我們使用 Veracode 靜態代碼分析來查找和修復代碼漏洞。 一個反復出現的主題是,他們引用ESAPI作為修復它們的推薦解決方案,例如 CW117( 如何修復 Veracode CWE 117(日志的不當輸出中和) ) 但是,我真的不明白擁有一個單獨的庫的意義,該庫除了作為其他庫之上的某種安全層 ...
ESAPI 2.2.3.1 使用 httpUtilities 時拋出 org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException
[英]ESAPI 2.2.3.1 throwing org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException when using httpUtilities
我正在使用 ESAPI 2.2.3.1 並嘗試運行此代碼。 我更改了 ESAPI.properties 中的 App Name 和 Validator.Redirect。 當我調用代碼時,我得到了下面的異常,我缺少什么才能使它工作? ESAPI:嘗試通過類路徑加載 ESAPI.prop ...