ESAPI

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量2.9k 收藏 3
点赞数
分类专栏: 系统安全性和保密性

ESAPI是owasp提供的一套API级别的web应用解决方案。https://www.owasp.org/

转自:https://blog.csdn.net/frog4/article/details/81876462

maven

<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.1.0.1</version>
</dependency>

加入配置文件

在工程的资源文件目录下增加配置配置文件ESAPI.properties及validation.properties,文件内容可为空。如果为空则都取默认值。

使用

1、针对xss漏洞

//对用户输入“input”进行HTML编码,防止XSS
input = ESAPI.encoder().encodeForHTML(input);
//根据自己不同的需要可以选用以下方法
//input = ESAPI.encoder().encodeForHTMLAttribute(input);
//input = ESAPI.encoder().encodeForJavaScript(input);
//input = ESAPI.encoder().encodeForCSS(input);
//input = ESAPI.encoder().encodeForURL(input);

//针对富文本进行html编码

2、针对sql注入漏洞

除了支持mysql还支持oracle

String input1="用户输入1";
String input2="用户输入2";

//解决注入问题
input1 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input1);
input2 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input2);

String sqlStr="select name from tableA where id="+input1 +"and date_created ='" + input2+"'";

//执行SQL

 

崔世勋
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java 防止js注入_java 防止JS注入(使用ESAPI进行编码)
weixin_42312133的博客
02-16 1592
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描,扫描工具使用的是Fortify安全工具推荐使用ESAPI.encoder().encodeForHTML来对html字符串进行编码,那我们就来开始尝试吧。1. 引入esapi依赖org.owasp.esapiesapi2.2.0.0log4j...
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 3916
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
Java代码漏洞检测-常见漏洞与修复建议
最新发布
baimao__Ch的博客
05-17 1123
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
java 防止JS注入(使用ESAPI进行编码)
大碍桃花开
08-28 5019
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描, 扫描工具使用的是Fortify 关于ESAPI的介绍可查看: https://blog.csdn.net/qq_35623773/article/details/100126615 安全工具推荐使用ESAPI.encoder().encod...
HtmlEncode
Sharper的技术人生
06-29 1722
function HtmlEncode(text){   return text.replace(/&/g,&).replace(//g,").replace(//g,>); }
预防SQL注入笔记
Unknowncheats的博客
08-25 539
SQL注入如何预防? 本文参考自owasp,重点是提供清晰,简单,可操作的指导,以防止应用程序中的SQL注入漏洞。不幸的是,SQL注入攻击很常见,这是由于两个因素: SQL注入漏洞的显着流行 目标的吸引力(即数据库通常包含应用程序的所有有趣/关键数据)。 发生了如此多的成功SQL注入攻击有点可耻,因为在代码中避免SQL注入漏洞非常简单。 当软件开发人员创建包含用户提供的输入的动态数据库查询时,会引入SQL注入漏洞。为了避免SQL注入缺陷很简单。开发人员需要: a)停止编写动态查询; b)防止用户...
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 3658
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar)
12-24
ESAPI,全称为“Enterprise Security API”,是一款开源的安全软件开发框架,主要针对Java平台。它由OWASP(开放网络应用安全项目)维护,旨在提供一套全面的、易于使用的安全编程接口,帮助开发者在构建应用程序时...
esapi配置文件
08-06
ESAPI(Enterprise Security API)是Enterprise Security API的缩写,是一个开源的安全库,主要用于Java应用程序,旨在提供一种标准的方法来处理常见的安全问题,如输入验证、输出编码、身份验证、授权、加密等。...
esapi-2.1.0.1_esapi-2.1.0.1_
10-02
**ESAPI 2.1.0.1:安全编程接口详解** `ESAPI`,全称为`Enterprise Security API`,是企业级安全API的一种实现,主要用于帮助开发人员在Java平台上构建更安全的应用程序。这个开源项目由OWASP(开放网络应用安全...
SQL注入字符转换器sqlencode
01-21
SQL注入字符转换器。ASCII码、URL等字符转换软件。
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
OWASP ESAPI项目
08-11
OWASP ESAPI项目 ,项目文档
Springboot结合ESAPI——配置XSS防御过滤
热门推荐
jxwen1的博客
10-19 1万+
本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址:https://blog.csdn.net/frog4/article/details/81876462https://blog.csdn.net/julycaka/article/details/78467291 https://blog.csdn.net/fengyao1995/article/de...
接口安全性测试技术(5):SQL注入
08-31 1841
DVWA环境搭建 DVWA-1.0.7.zip http://IP:Port/dvwa/login.php。默认用户名 admin, 默认密码 password 什么是SQL注入 SQL注入是发生在应用程序数据库层的安全漏洞。简而言之,是输入的文本中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到破坏。 SQL注入类型 1.数字型注入 http://www.test.com/msg/test.php?myno=1’ http:.
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi(1)
m0_60721649的博客
04-06 1104
3、测试System.out.println(“对html进行转码:”+s);System.out.println(“对MySQLSQL转码:”+s);System.out.println(“对html进行解码:”+s);
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4230
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
Springboot使用esapi
05-18
ESAPI(The OWASP Enterprise Security API)是一款开源的安全API,用于帮助开发人员编写更安全的应用程序。Spring Boot是基于Spring框架的快速开发框架,可以方便地构建Web应用程序。 如果你想在Spring Boot应用程序中使用ESAPI,可以按照以下步骤: 1. 首先,将ESAPI库添加到应用程序的依赖中。可以在Maven或Gradle中添加以下依赖项: ``` <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.3.1</version> </dependency> ``` 2. 创建一个ESAPI实例 ``` ESAPI.securityConfiguration().setResourceDirectory("/path/to/esapi"); ESAPI.initialize(); ``` 3. 在需要使用ESAPI的地方,引用ESAPI实例,并调用相应的方法 ``` String cleanInput = ESAPI.encoder().canonicalize(input); ``` 例如,上面的代码将使用ESAPI的encoder()方法来对输入进行编码,并使用canonicalize()方法来规范化输入,以避免一些常见的安全漏洞,如SQL注入和跨站脚本攻击。 当然,ESAPI提供了许多其他有用的方法,供开发人员使用,如验证用户输入、生成随机密码等等。可以查看ESAPI的官方文档,了解更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值