ESAPI接入

已于 2024-04-23 15:43:33 修改
阅读量2.1k 收藏 4
点赞数 4
文章标签: linux 开发语言
于 2023-08-22 10:15:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013529468/article/details/132422146
版权

1、引入jar包

<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.5.2.0</version>
</dependency>

2、增加ESAPI.properties配置文件

# 是否要打印配置属性,默认为true
ESAPI.printProperties=false

ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController
ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator
ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder
ESAPI.Encryptor=org.owasp.esapi.reference.crypto.JavaEncryptor
ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor
ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities
ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector
ESAPI.Logger=org.owasp.esapi.logging.java.JavaLogFactory
ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer
ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator

#===========================================================================
# ESAPI Encoder
Encoder.AllowMultipleEncoding=false
Encoder.AllowMixedEncoding=false
Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec


#===========================================================================
# ESAPI 加密模块
Encryptor.PreferredJCEProvider=
Encryptor.EncryptionAlgorithm=AES
Encryptor.CipherTransformation=AES/CBC/PKCS5Padding
Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC
Encryptor.cipher_modes.additional_allowed=CBC
Encryptor.EncryptionKeyLength=128
Encryptor.ChooseIVMethod=random
Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f
Encryptor.CipherText.useMAC=true
Encryptor.PlainText.overwrite=true
Encryptor.HashAlgorithm=SHA-512
Encryptor.HashIterations=1024
Encryptor.DigitalSignatureAlgorithm=SHA1withDSA
Encryptor.DigitalSignatureKeyLength=1024
Encryptor.RandomAlgorithm=SHA1PRNG
Encryptor.CharacterEncoding=UTF-8
Encryptor.KDF.PRF=HmacSHA256

#===========================================================================
# ESAPI Http工具

HttpUtilities.UploadDir=C:\\ESAPI\\testUpload
HttpUtilities.UploadTempDir=C:\\temp
# Force flags on cookies, if you use HttpUtilities to set cookies
HttpUtilities.ForceHttpOnlySession=false
HttpUtilities.ForceSecureSession=false
HttpUtilities.ForceHttpOnlyCookies=false
HttpUtilities.ForceSecureCookies=true
# Maximum size of HTTP headers
HttpUtilities.MaxHeaderSize=4096
HttpUtilities.MaxUploadFileCount=10000
# File upload configuration
HttpUtilities.ApprovedUploadExtensions=.zip,.pdf,.doc,.docx,.ppt,.pptx,.tar,.gz,.tgz,.rar,.war,.jar,.ear,.xls,.rtf,.properties,.java,.class,.txt,.xml,.jsp,.jsf,.exe,.dll
HttpUtilities.MaxUploadFileBytes=500000000
# Using UTF-8 throughout your stack is highly recommended. That includes your database driver,
# container, and any other technologies you may be using. Failure to do this may expose you
# to Unicode transcoding injection attacks. Use of UTF-8 does not hinder internationalization.
HttpUtilities.ResponseContentType=text/html; charset=UTF-8
# This is the name of the cookie used to represent the HTTP session
# Typically this will be the default "JSESSIONID"
HttpUtilities.HttpSessionIdName=JSESSIONID



#===========================================================================
# ESAPI Executor
Executor.WorkingDirectory=
Executor.ApprovedExecutables=


#===========================================================================
# ESAPI Logging
# Set the application name if these logs are combined with other applications
Logger.ApplicationName=ExampleApplication
# If you use an HTML log viewer that does not properly HTML escape log data, you can set LogEncodingRequired to true
Logger.LogEncodingRequired=false
# Determines whether ESAPI should log the application name. This might be clutter in some single-server/single-app environments.
Logger.LogApplicationName=false
# Determines whether ESAPI should log the server IP and port. This might be clutter in some single-server environments.
Logger.LogServerIP=false
# LogFileName, the name of the logging file. Provide a full directory path (e.g., C:\\ESAPI\\ESAPI_logging_file) if you
# want to place it in a specific directory.
Logger.LogFileName=ESAPI_logging_file
# MaxLogFileSize, the max size (in bytes) of a single log file before it cuts over to a new one (default is 10,000,000)
Logger.MaxLogFileSize=10000000

Logger.UserInfo=false

Logger.ClientInfo=false


#===========================================================================
# ESAPI Intrusion Detection
IntrusionDetector.Disable=false
IntrusionDetector.event.test.count=2
IntrusionDetector.event.test.interval=10
IntrusionDetector.event.test.actions=disable,log

IntrusionDetector.org.owasp.esapi.errors.IntrusionException.count=1
IntrusionDetector.org.owasp.esapi.errors.IntrusionException.interval=1
IntrusionDetector.org.owasp.esapi.errors.IntrusionException.actions=log,disable,logout

IntrusionDetector.org.owasp.esapi.errors.IntegrityException.count=10
IntrusionDetector.org.owasp.esapi.errors.IntegrityException.interval=5
IntrusionDetector.org.owasp.esapi.errors.IntegrityException.actions=log,disable,logout

IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.count=2
IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.interval=10
IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.actions=log,logout


#===========================================================================
# ESAPI 校验器
#校验器的配置文件
Validator.ConfigurationFile=validation.properties

# Validators used by ESAPI
Validator.AccountName=^[a-zA-Z0-9]{3,20}$
Validator.SystemCommand=^[a-zA-Z\\-\\/]{1,64}$
Validator.RoleName=^[a-z]{1,20}$

#the word TEST below should be changed to your application
#name - only relative URL's are supported
Validator.Redirect=^\\/test.*$

# Global HTTP Validation Rules
# Values with Base64 encoded data (e.g. encrypted state) will need at least [a-zA-Z0-9\/+=]
Validator.HTTPScheme=^(http|https)$
Validator.HTTPServerName=^[a-zA-Z0-9_.\\-]*$
Validator.HTTPParameterName=^[a-zA-Z0-9_]{1,32}$
Validator.HTTPParameterValue=^[a-zA-Z0-9.\\-\\/+=@_ ]*$
Validator.HTTPCookieName=^[a-zA-Z0-9\\-_]{1,32}$
Validator.HTTPCookieValue=^[a-zA-Z0-9\\-\\/+=_ ]*$

# Note that max header name capped at 150 in SecurityRequestWrapper!
Validator.HTTPHeaderName=^[a-zA-Z0-9\\-_]{1,50}$
Validator.HTTPHeaderValue=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ ]*$
Validator.HTTPContextPath=^\\/?[a-zA-Z0-9.\\-\\/_]*$
Validator.HTTPServletPath=^[a-zA-Z0-9.\\-\\/_]*$
Validator.HTTPPath=^[a-zA-Z0-9.\\-_]*$
Validator.HTTPQueryString=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ %]*$
Validator.HTTPURI=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ ]*$
Validator.HTTPURL=^.*$
Validator.HTTPJSESSIONID=^[A-Z0-9]{10,30}$

# Validation of file related input
Validator.FileName=^[a-zA-Z0-9!@#$%^&{}\\[\\]()_+\\-=,.~'` ]{1,255}$
Validator.DirectoryName=^[a-zA-Z0-9:/\\\\!@#$%^&{}\\[\\]()_+\\-=,.~'` ]{1,255}$

# Validation of dates. Controls whether or not 'lenient' dates are accepted.
# See DataFormat.setLenient(boolean flag) for further details.
Validator.AcceptLenientDates=false

3、增加validation.properties配置文件

# 校验某个字段的正则表达式
Validator.SafeString=^[.\\p{Alnum}\\p{Space}]{0,1024}$
Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+\\.[a-zA-Z]{2,4}$
Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$
Validator.URL=^(ht|f)tp(s?)\\:\\/\\/[0-9a-zA-Z]([-.\\w]*[0-9a-zA-Z])*(:(0-9)*)*(\\/?)([a-zA-Z0-9\\-\\.\\?\\,\\:\\'\\/\\\\\\+=&amp;%\\$#_]*)?$
Validator.CreditCard=^(\\d{4}[- ]?){3}\\d{4}$
Validator.SSN=^(?!000)([0-6]\\d{2}|7([0-6]\\d|7[012]))([ -]?)(?!00)\\d\\d\\3(?!0000)\\d{4}$

4、增加esapi-java-logging.properties文件 不然会报错

5、使用

public class ESAPIUtil {

    public static final String rootPath = "/test";

    public static String validFilePath(String inputPath, String rootPath) throws ValidationException {
        return ESAPI.validator().getValidDirectoryPath(inputPath, inputPath, new File(rootPath), false);
    }

    public static String validFilePath(String inputPath) throws ValidationException {
        return validFilePath(inputPath,rootPath);
    }

    public static String validMysqlParam(String param){
        return ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),param);
    }

    public static void main(String[] args) throws ValidationException {
        String inputPath = "D:\\temp\\data";
        String rootPath = "D:\\temp";
        String validPath = ESAPIUtil.validFilePath(inputPath,rootPath);
        File f = new File(validPath);
        System.out.println(f.getName());

        String mysqlParam = "2 or 1=1";
        System.out.println(ESAPIUtil.validMysqlParam(mysqlParam));
    }
}

高山流水_CC
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ESAPI加使用方法文档
11-03
esapi-2.1.0及其具体使用方法,手把手教你实施部署,绝对避免你出错
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
静态代码扫描问题修复之--(输入验证 路径遍历java)
最新发布
csdn466412618的博客
05-13 1503
优化Java应用安全,防范路径遍历漏洞于输入验证环节,确保代码坚若磐石。本文揭示了因未严格校验用户输入而导致的路径遍历风险,攻击者可能借此突破防线,非法访问或操纵关键文件。通过分析典型问题代码与深入探讨,我们提出了三大修复策略:实施严格的输入验证与过滤、采用安全上下文进行文件操作、以及强化服务器配置。核心修复实例引入了OWASP ESAPI库,展示了如何安全地处理并验证路径,以构建防篡改的安全路径处理机制。立即行动,升级你的应用安全防护,让SEO友好性与用户数据安全并驾齐驱。
esapi配置文件
08-06
在网上都是esapi包,此处将esapi的3个配置文件打包上传,方便各位配置
esapi-2.1.0-sources.jar
12-28
esapi-2.1.0-sources.jar源码包!esapi-2.1.0-sources.jar源码包!
ESAPI配置文件属性说明原文档
qq_40260565的博客
11-06 2949
ESAPI配置文件属性说明原文档 由于经常连不上github,索性就从github上直接copy下来了,git地址:https://github.com/ESAPI/esapi-java-legacy/blob/develop/configuration/esapi/ESAPI.properties # # OWASP Enterprise Security API (ESAPI) Properties file -- PRODUCTION Version # # This file is part of
Elastic stack技术栈学习(十)— springboot集成ES API详解
qq_44886213的博客
03-12 6676
在test里测试一下各个API。 打开es,也运行es-head,方便观察。 一、关于索引的API详解 这里的client对ES发出请求,就相当于我们的kibana。 1.1 声明客户端 @SpringBootTest class SpringEsApiApplicationTests { @Autowired @Qualifier("restHighLevelClient") private RestHighLevelClient client; //加上@@Qualifier,就可以
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4238
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
ESAPI使用
yu_ber的博客
08-08 805
【代码】ESAPI使用。
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 3675
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
ES学习四:ES之API使用
szq18545570866qq的博客
07-26 337
学习官方文档 官方文档:https://www.elastic.co/guide/index.html 1.原生依赖 <dependency> <groupId>org.elasticsearch.client</groupId> <artifactId>elasticsearch-rest-high-level-client</artifactId> <version>7.6.1</version&
esapi4js-0.1.2.zip下载包
05-07
前端防止XSS攻击的安全包,esapi4js适合用在前端,使用前请先阅读readme
esapi-2.1.0.1-dist.zip
05-08
ESAPI (OWASP企业安全应用程序接口)是一个免费、开源的、网页应用程序安全控件库,它使程序员能够更容易写出更低风险的程序。ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。使用方法可参考https://blog.csdn.net/ru_li/article/details/51354758
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
接下来,我们将讨论如何在SpringBoot项目中集成ESAPI。首先,需要在项目的`pom.xml`文件中添加ESAPI和spring-security的依赖: ```xml <groupId>org.owasp.esapi <artifactId>esapi <version>2.3.0 ...
开发者如何调用直播SDK或API接入直播功能.doc
11-13
本篇文章将详细阐述开发者如何调用直播SDK或API来接入直播功能,以趣看云视频直播点播服务的iOS开发指南为例进行说明。 趣看IOS视频直播推流SDK是一个高效且功能全面的实时直播推流工具,适用于创建各种类型的直播...
ElasticSearchPoolUtil.java(es连接池工具类)
09-11
使用过Elasticsearch RestFul API的都知道,在Java端使用是ES服务需要创建Java Client,但是每一次连接都实例化一个client,对系统的消耗很大,而且最令人头疼的是它的连接非常慢。所以为了解决上述问题并提高client...
ESP8266-EDP_TYPE3-LED_单片机_onenet_esp8266edp接入_ESP8266-EDP-LED_es
09-29
而"esp8266edp接入"可能是指具体的接入流程或指南,指导用户如何将ESP8266 EDP模块连接到他们的网络并进行配置。 压缩包中的"ESP8266-EDP_TYPE3-LED"文件可能包含了整个项目的源代码、固件、电路设计图或者相关文档...
onenettoes_onenet_ES_物联网_
09-28
OneNet是中国移动物联网有限公司提供的一个开放的云服务平台,它支持各种物联网设备的接入,能够收集、存储和处理设备产生的数据。开发者可以通过API接口将设备数据上传到OneNet平台,实现远程监控、数据分析等功能...
ESAPI学习笔记
weixin_30487201的博客
12-22 1274
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
ES 怎么连接JAVAApi
04-21
如果我没理解错误,您的问题是关于 ES( Elasticsearch)如何连接 Java API的。要使用 Java API 连接 Elasticsearch,您需要先下载 Elasticsearch 的 Java API库并添加到您的Java项目中的classpath路径下。然后,您需要创建一个Elasticsearch客户端实例,使用该实例连接到Elasticsearch集群,并执行不同的操作,如索引数据,搜索数据等。您可以参考官方文档或其他在线资源,以获取更多关于Java API连接Elasticsearch的详细信息。希望我的回答对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值