基于单个 URL 请求对设备/用户进行身份验证
我们目前有一个 J2EE 系统,它实现了 OWASP 前 10 名安全措施的大部分,目前的应用程序允许用户使用存储在数据库中的用户/密码组合登录。 我有一个映…
前端 JBoss 的安全问题 - OWASP 安全性的模糊性
我计划在公共网络上提供的 Amazon JBoss 6 上部署 EAR 应用程序。我将需要多个实例,但我不需要集群,并且 ELB 可以在我的情况下完成其工作。在应用程…
同时拥有 mod_security 和 htmlpurifier 是不是太过分了?
我们之前已将 htmlpurifier 集成到基于 LAMP 的产品中,但速度有点慢。最近,我们开启了 mod_security。这两个都是 OWASP 项目的一部分(我上次检查时…
提交多部分表单数据时缺少 OWASP CsrfGuard 令牌
我已经在现有的 Struts 1.1 应用程序上实现了 OWASP CsrfGuard 3 过滤器,它对每个请求都工作良好,除了具有文件上传字段和 enctype="multipart/form-…
使用ESAPI库预防XSS的问题
我正在尝试防止我的网站中的 XSS 攻击,为此我正在使用 OWASP ESAPI 库。我在类路径中为此库添加了 jar,但出现以下错误。 尝试通过文件 io 加载 ESA…
ESAPI.NET 是一个死项目吗?
我最近的任务是领导一项工作,以改进我们的输入(和输出)验证,同时考虑到 OWASP 建议和 PCI 合规性。在此过程中,我试图评估 ESAPI.NET 项目的价值…
如何防止“DROP BOBBY TABLES”当用户输入带有特殊字符的密码时?
在我们古老的经典 ASP 环境中,我们利用 OWASP 从请求对象获取密码并对非字母数字字符进行加密。这是防止sql注入的第一道防线。我们使用其他方法来全…
AntiSamy 允许编码脚本警报通过?怎么屏蔽?
我将 AntiSamy 与可用的 antisamy-1.4.1.xml 策略一起使用。该策略可以很好地阻止大多数 XSS 攻击,但以下内容未被阻止。关于如何阻止以下内容以防止 …
防止 OWASP 十大漏洞的最佳库/实践
我正在寻找 ASP.Net 中最好的可重用库和内置功能,以防止 OWASP 十大安全漏洞,如注入、XSS、CSRF 等,以及易于使用的工具来检测这些漏洞,以供测试团…
OWASP 正则表达式存储库:此正则表达式正确吗?
我正在查看用于验证来自 (OWASP Regex Repository 的各种数据类型的正则表达式)。 其中一个正则表达式称为 safetext,看起来像: ^[a-zA-Z0-9\s.\-]+…
有没有办法让 Rails / Rack 应用程序告诉 Web 服务器断开连接
有很多安全原因导致人们想要在没有响应的情况下断开 HTTP 连接(例如 OWASP 的 SSL最佳实践)。当这些可以在服务器级别检测到时,那就没什么大不了的…
