强化不安全重定向...但重定向到您自己?
我有一个 ASP.NET Web 应用程序项目,我通过 Fortify Source Analyzer v3.1 对其进行扫描。 该 Web 项目包含一个 ASPX,该 ASPX 存在重定向到自身的情…
JSF 中的 CSRF、XSS 和 SQL 注入攻击预防
我有一个基于 JSF 构建的 Web 应用程序,并使用 MySQL 作为数据库。我已经在我的应用程序中实现了防止 CSRF 的代码。 现在,由于我的底层框架是 JSF,…
在使用它之前我需要调用 MessageDigest.reset() 吗?
问题很简单:我什么时候应该调用java类MessageDigest上的reset()函数? 这个问题主要来自 OWASP 参考,在代码示例中,他们这样做: MessageDigest dig…
Pagedown(WMD 编辑器)Java Sanitizer(或 OWASP xml 规则)
我在客户端使用著名的 wmd-javascript 编辑器 PageDown 的重新实现(它也在 Stackoverflow 上使用)。 现在,我正在为我的服务器(运行 tomcat7)搜索…
基于单个 URL 请求对设备/用户进行身份验证
我们目前有一个 J2EE 系统,它实现了 OWASP 前 10 名安全措施的大部分,目前的应用程序允许用户使用存储在数据库中的用户/密码组合登录。 我有一个映…
前端 JBoss 的安全问题 - OWASP 安全性的模糊性
我计划在公共网络上提供的 Amazon JBoss 6 上部署 EAR 应用程序。我将需要多个实例,但我不需要集群,并且 ELB 可以在我的情况下完成其工作。在应用程…
同时拥有 mod_security 和 htmlpurifier 是不是太过分了?
我们之前已将 htmlpurifier 集成到基于 LAMP 的产品中,但速度有点慢。最近,我们开启了 mod_security。这两个都是 OWASP 项目的一部分(我上次检查时…
提交多部分表单数据时缺少 OWASP CsrfGuard 令牌
我已经在现有的 Struts 1.1 应用程序上实现了 OWASP CsrfGuard 3 过滤器,它对每个请求都工作良好,除了具有文件上传字段和 enctype="multipart/form-…
使用ESAPI库预防XSS的问题
我正在尝试防止我的网站中的 XSS 攻击,为此我正在使用 OWASP ESAPI 库。我在类路径中为此库添加了 jar,但出现以下错误。 尝试通过文件 io 加载 ESA…
ESAPI.NET 是一个死项目吗?
我最近的任务是领导一项工作,以改进我们的输入(和输出)验证,同时考虑到 OWASP 建议和 PCI 合规性。在此过程中,我试图评估 ESAPI.NET 项目的价值…
如何防止“DROP BOBBY TABLES”当用户输入带有特殊字符的密码时?
在我们古老的经典 ASP 环境中,我们利用 OWASP 从请求对象获取密码并对非字母数字字符进行加密。这是防止sql注入的第一道防线。我们使用其他方法来全…
