ESAPI For JAVA安全组件

最新推荐文章于 2024-04-24 12:46:56 发布
最新推荐文章于 2024-04-24 12:46:56 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: esapi 文章标签: java esapi xss

ESAPI是一个免费、开源的Web应用程序安全控制组件,在JavaWeb应用中可帮助开发人员降低应用的风险。 ESAPI是OWASP组织的一个开源项目

    主页是: http://www.owasp.org/index.php/ESAPI
    介 绍 :http://owasp-esapi-java.googlecode.com/files/OWASP%20ESAPI.ppt
    下载地址是:https://code.google.com/p/owasp-esapi-java/downloads/list

ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计:

   1.具有一个安全接口集;
   2.对每一种安全控制有一种参考实现;
   3.对每一种安全控制可以有你自己的实现方法。

很多著名的大公司开始将ESAPI作为自己保障Web应用程序安全的手段,包括美国运通公司,Apache基金会,世界银行等。

ESAPI对常见安全漏洞都提供对应的安全控制实现方法: ESAPI使用示例: 使用ESAPI防止XSS的做法: String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) ); 对用户输入“input”进行HTML编码,防止XSS。

System.out.println(ESAPI.encoder().encodeForHTML("<a href='sdfs'></a> < script > alert(); </ script >" ));

输出的结果

 &lt;a href&#x3d;&#x27;sdfs&#x27;&gt;&lt;&#x2f;a&gt; &lt; script &gt; alert&#x28;&#x29;&#x3b; &lt;&#x2f; script &gt;

使用ESAPI防止ORACLE数据库SQL注入的做法:   

String sqlStr=“select name from tableA where id=”+
  ESAPI.encoder().encodeForSQL(ORACLE_CODEC,validatedUserId)
  +“and date_created”='“
  + ESAPI.encoder()。encodeForSQL(ORACLE_CODEC,validatedStartDate)+"'";
  myStmt = conn.createStatement(sqlStr);

补充: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

 
iteye_21288
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
esapi jar包
10-25
使用esapi进行Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。
ESAPI学习笔记
weixin_30487201的博客
12-22 1210
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
程序员科普小课堂:应用安全防护ESAPI
hwxiaozhi的博客
02-05 1084
是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库旨在使程序员更容易对现有应用程序进行安全性改造。ESAPI库也是新开发的坚实基础。有一组安全控制接口。例如,定义了传递给安全控件类型的参数类型。每个安全控制都有一个参考实现。例如:基于字符串的输入验证。
Xss过滤器(Java
chi0830的博客
08-20 1624
问题 最近旧的系统,遇到Xss安全问题。这个系统采用用的是spring mvc的maven工程。 解决 maven依赖配置 <properties> <easapi.version>2.2.0.0</easapi.version> </propert...
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 3715
上传文件流防XSS
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4032
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
Elastic stack技术栈学习(十)— springboot集成ES API详解
qq_44886213的博客
03-12 6286
在test里测试一下各个API。 打开es,也运行es-head,方便观察。 一、关于索引的API详解 这里的client对ES发出请求,就相当于我们的kibana。 1.1 声明客户端 @SpringBootTest class SpringEsApiApplicationTests { @Autowired @Qualifier("restHighLevelClient") private RestHighLevelClient client; //加上@@Qualifier,就可以
【ESAPI】WEB安全ESAPI使用
后端研发工程师Marion的博客
03-30 3903
ESAPI可以使用构建工具如Maven和Gradle进行安装,也可以手动下载jar包后导入到项目中。ESAPI的配置文件需要在classpath中或指定的位置中定义路径。同时,如果您需要记录日志,您还需要定义日志记录器和日志格式。ESAPI提供了多种输入验证API,提供对XSS攻击和SQL注入攻击等的防护。这将验证输入是否有效。它通过检查输入的长度和字符集来防止XSS攻击和SQL注入攻击。ESAPI提供了多种加密API,可以用于密码和数据的加密。
ESAPI处理sql注入和xss攻击
热门推荐
HI,我是小瑞!
11-10 1万+
使用ESAPI防止XSS的做法: String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) ); 对用户输入“input”进行HTML编码,防止XSS。   使用ESAPI防止ORACLE数据库SQL注入的做法:   String sqlStr=“select name f
ESAPI for java 说明
04-13
ESAPI for java 说明
esapi 2.1.0 for java
04-13
esapi 2.1.0 for java
owasp-esapi-java:自动从code.google.compowasp-esapi-java导出
05-04
owasp-esapi-java 自动从code.google.com/p/owasp-esapi-java esapi导出为Java
ESAPI安全编码工具源码包
12-30
owasp开发的基于java实现的安全工具开发包, 包含认证,授权,加密,参数校验都工具
java源码api-esapi-java-legacy:ESAPI(OWASP企业安全性API)是一个免费的,开放源代码的Web应用程序安全
05-25
用于Java的ESAPI库旨在使程序员更轻松地将安全性改造到现有应用程序中。 Java的ESAPI还为新开发奠定了坚实的基础。 OWASP ESAPI Wiki页面在哪里? 您可以在找到OWASP ESAPI Wiki页面。 ESAPI旧版GitHub存储库也有...
string模拟实现
m0_73969414的博客
04-23 939
c++中string的模拟实现,面试必会知识点
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 921
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
PageHelper实现分页查询
最新发布
m0_63849044的博客
04-24 796
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
springboot 2.3 集成安全 esapi
01-09
Spring Boot 2.3的整合安全ESAPI可以按照以下步骤实现: 1. 添加ESAPI Maven依赖:在pom.xml文件中添加ESAPI的Maven依赖,例如: ```xml <groupId>org.owasp.esapi <artifactId>esapi <version>2.2.3.1 ``` 2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值