ESAPI入门使用方法

最新推荐文章于 2024-05-30 08:15:00 发布
最新推荐文章于 2024-05-30 08:15:00 发布
阅读量3.9w 收藏 29
点赞数 7
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ru_li/article/details/51354758
版权

一、介绍ESAPI

   ESAPI (OWASP企业安全应用程序接口)是一个免费、开源的、网页应用程序安全控件库,它使程序员能够更容易写出更低风险的程序。ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。

二、所需要的软件


我下载后的文件放置在  【E:\软件源文件 】中

三、使用方法

  1.将下载好的文件解压。解压的文件夹在【E:\软件源文件】

  2.将文件下列文件加入到

       1)E:\软件源文件\esapi-2.1.0-dist\esapi-2.1.0.jar

       2) E:\软件源文件\esapi-2.1.0-dist\libs

如下所示,不要告诉我你不会加入路径哦~

  3. 新建源文件EsapiTest.java,代码如下所示

package qwert; //我自己建的包

import org.owasp.esapi.ESAPI;

public class EsapiTest{
	public static void main(String[] args){
	
		String safe = ESAPI.encoder().encodeForHTML("<script>alert('xss')</script>");
		
		System.out.println(safe);
	}
<span style="font-family:KaiTi_GB2312;">}
</span>
运行代码:


分析出现的问题:无法找到目录文件。

解决方法:将【E:\软件源文件\esapi-2.1.0-dist\src\test\resources\esapi】下的ESAPI.properties和validation.properties复制到【C:\Users\wangwr】目录下新建esapi文件夹中。

设置完后,继续运行,此时不会出现无法找到目录文件的错误,而是出现下列错误。


该错误让我花了大半天的时间解决,找了很多的英文资料,最终的原因是apache.log4j文件的问题。

上述原因描述的结果是 java.lang.ClassNotFoundException: org.apache.log4j.spi.LoggerFactory,即,找不到log4j文件的原因,但在libs中确实有该jar文件。


解决方法:找了好久的资料,花了大半天的时间,最后在英文论坛上找到有人用的是log4j-1.2.17,于是用尝试的方式去在官网上下载了log4j-1.2.17。

解压后,将其中的【E:\软件源文件\log4j-1.2.17\apache-log4j-1.2.17】的log4j-1.2.17.jar文件加入到path中,然后在运行

结果就出来了。如下所示:


四、总结

经过一番折腾,简单的ESAPI实现xss终于搞定了,虽然整体来说不难,但是对于一个初学者来说,并且在已有资料很少且不详细的情况下,要完成还是折腾了好久。希望把自己的整个过程写下来,方便大家学习。


ps:如果有需要软件的话,可以给我留言~

ru_li
关注
  • 7
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 3923
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
路径遍历攻击
最新发布
常备不懈
05-30 447
路径遍历攻击(也称为目录遍历)旨在访问存储在 Web服务器根路径之外的文件和目录。通过操作一系列带有“点-点-斜线 (../)”及其变体的绝对文件路径,可以访问到存储在文件系统上的任意文件和目录,包括应用程序源代码或配置和关键系统文件。
ESAPI配置文件自定义路径
Utrix的博客
04-15 4004
文章目录前言一、pom依赖二、ESAPI配置文件1.ESAPI.properties2.validation.properties3.esapi-java-logging.properties4.antisamy-esapi.xml5.配置文件放置位置6.自定义配置文件路径,封装ESAPI方法 前言 网上有很多对ESAPI的上手讲解,但很少有讲的其原理通透的。我在这里梳理梳理。 一、pom依赖 <dependency> <groupId>o
Springboot结合ESAPI——配置XSS防御过滤
热门推荐
jxwen1的博客
10-19 1万+
本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址:https://blog.csdn.net/frog4/article/details/81876462https://blog.csdn.net/julycaka/article/details/78467291 https://blog.csdn.net/fengyao1995/article/de...
ESAPI使用
yu_ber的博客
08-08 804
【代码】ESAPI使用
OWASP ESAPI 预防XSS跨站脚本攻击
我是混IT圈的
12-11 1130
2、引入esapi的配置文件。
ES学习四:ES之API使用
szq18545570866qq的博客
07-26 337
学习官方文档 官方文档:https://www.elastic.co/guide/index.html 1.原生依赖 <dependency> <groupId>org.elasticsearch.client</groupId> <artifactId>elasticsearch-rest-high-level-client</artifactId> <version>7.6.1</version&
ES基础篇 常用API之集群类API
u010088278的博客
05-31 1518
ES中用于集群管理类的API,方便查看各个节点、分片以及系统的各种信息状态
ESAPI自定义配置文件路径
Aaron-x的博客
03-07 4519
原文链接 文章目录 前言 一、pom依赖 二、ESAPI配置文件 1.ESAPI.properties 2.validation.properties 3.esapi-java-logging.properties 4.antisamy-esapi.xml 5.配置文件放置位置 6.自定义配置文件路径,封装ESAPI方法 一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId>
java 防止js注入_java 防止JS注入(使用ESAPI进行编码)
weixin_42312133的博客
02-16 1594
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描,扫描工具使用的是Fortify安全工具推荐使用ESAPI.encoder().encodeForHTML来对html字符串进行编码,那我们就来开始尝试吧。1. 引入esapi依赖org.owasp.esapiesapi2.2.0.0log4j...
esapi4js-0.1.2.zip下载包
05-07
前端防止XSS攻击的安全包,esapi4js适合用在前端,使用前请先阅读readme
SpringBoot整合原生ESAPI及其入门使用
m0_48639280的博客
10-02 1807
使用框架情况下的原生ElasticSearch void contextLoads() { RestHighLevelClient client = new RestHighLevelClient(RestClient.builder( new HttpHost( "192.168.93.129", 9200, "http" ) )); System.out.println(cl
认识ElasticSearch的API,并深入Search的使用
chuiku1691的博客
02-28 1390
0.引言 本文罗列介绍了ES提供的公共API,重点围绕数据检索主题相关API进行说明总结。 1.概述 Elasticsearch提供全功能的RESTful API。以基于HTTP协议传输交换JSON数据的方式,向用户提供访问服务。 具体的访问方式可按照参数的提交方法区分为以下两种: 通过UR...
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4237
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi(1)
m0_60721649的博客
04-06 1111
3、测试System.out.println(“对html进行转码:”+s);System.out.println(“对MySQL的SQL转码:”+s);System.out.println(“对html进行解码:”+s);
java反射行跨站脚本攻击_跨站脚本攻击有哪些类型
weixin_29224589的博客
02-24 270
展开全部不可信数据不可信数据通常是来自http请求的数据,以url参数、表单字段、标头或者cookie的形式。不e68a8462616964757a686964616f31333431343064过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措施...
Not found in 'org.owasp.esapi.resources' directory or file not readable
zd8582zd的专栏
11-04 5833
解决方案: 1. 复制路径:D:\Agile\Agile933\agileDomain\servers\agile933test-AgileServer\tmp\_WL_user\AgilePLM\mh3o3\APP-INF\classes\esapi下的3个文件 ESAPI.properties  validatiion.properties  antisamy-esapi.xml 2
XSS 防御方法总结
一起记录GIS学习
07-21 4564
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值