ESAPI = Enterprise Security API

最新推荐文章于 2024-05-28 09:25:21 发布
最新推荐文章于 2024-05-28 09:25:21 发布
阅读量76 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/347148
版权

下面是OWASP里的说明,其实简单一点来说,ESAPI就是为编写出更加安全的代码设计出来的一些API,方便使用者调用,从而方便的编写安全的代码。它本身是开源的,同时提供JAVA版本和.NET版本。

代码下载地址:http://code.google.com/p/owasp-esapi-java/

ESAPI介绍的PPT:http://owasp-esapi-java.googlecode.com/files/OWASP%20ESAPI.ppt

下图显示了提供的API与OWASP列出的10个安全问题的涵盖关系:


 

 ---------------------------------------------------------  来自 owasp --------------------------------------------------------------------------

Watch the Video

What is ESAPI?

The ESAPI is a free and open collection of all the security methods that a developer needs to build a secure web application. You can just use the interfaces and build your own implementation using your company's infrastructure. Or, you can use the reference implementation as a starting point. In concept, the API is language independent. However, the first deliverables from the project are a Java API and a Java reference implementation. Efforts to build ESAPI in .NET and PHP are already underway.

Why ESAPI?

Unfortunately, the available platforms, frameworks, and toolkits (Java EE, Struts, Spring, etc...) simply do not provide enough protection. This leaves developers with responsibility for designing and building security mechanisms. This reinventing the wheel for every application leads to wasted time and massive security holes.

The cost savings through reduced development time, and the increased security due to using heavily analyzed and carefully designed security methods provide developers with a massive advantage over organizations that are trying to deal with security using existing ad hoc secure coding techniques. This API is designed to automatically take care of many aspects of application security, making these issues invisible to the developers.

Where did ESAPI come from?

The OWASP ESAPI project is led by Jeff Williams, who serves as the volunteer chair of OWASP and is the CEO of Aspect Security. Jeff is a software developer who has specialized in application security since 1995. The ESAPI is the result of over a decade of code review and penetration testing of critical enterprise applications. If you'd like to volunteer to help on the project, you can contact him at jeff.williams@owasp.org.

More information about the ESAPI can be found in the ESAPI PowerPoint presentation


本文转自CoderZh博客园博客,原文链接:http://www.cnblogs.com/coderzh/archive/2009/01/16/1377140.html,如需转载请自行联系原作者

weixin_33997389
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用ESAPI 解决veracode 漏洞
m0_66173671的博客
05-12 578
ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。 ESAPI是OWASP组织的一个开源项目,网址是:OWASP Enterprise Security API (ESAPI) | OWASP Foundation ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计: 具有一个安全接口集; 对每一种安全控制有一种参考实现; 每个安全控制都有可选的您自己的实现。 这些类中可能包含由您的组织开发或为您的组织开发.
esapi配置文件
08-06
在网上都是esapi包,此处将esapi的3个配置文件打包上传,方便各位配置
Java项目接口安全_ESAPI安全开发实战
weixin_35181426的博客
02-28 1058
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。ESAPI 安装(JAVA)下载 ESAPI 的 Jar包 和 源码。下载 Log4j(一定要导入这个jar包,没有会报错的!)JAVAEE项目中,将 esapi.jar 和 log4j.jar 放到 WEB-INF 下的 lib 目录里面。...
OWASP 企业安全控制库中存在路径遍历漏洞
smellycat000的专栏
05-06 1355
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OWASP 修复了Enterprise Security API (ESAPI) 中的一个漏洞,如不修复,则可能被滥用于发动路径遍历攻击。该漏洞涉及 ESAPI 验证器接口,CVSS评分为7.5,可通过应用已修复版本 2.3.0.0 解决。OWASP ESAPI 提供安全控制库,有助于企业软件开发人员编写出更安全的代码。...
es java api parent_pom.xml · 不完美的艺术/esapi-java-legacy - Gitee.com
weixin_31041955的博客
03-09 246
4.0.0org.owasp.esapiesapi2.1.0.1jar3.0org.sonatype.ossoss-parent5BSDhttp://www.opensource.org/licenses/bsd-license.phpCode License - New BSD LicenseCreative Commons 3.0 BY-SAhttp://creativecommons.org...
api es7 删除所有数据_es删除全部数据库
weixin_39528525的博客
12-30 369
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"阿里云数据库专家保驾护航,为用户的数据库应用系统进行性能和风险评估,参与配合进行数据压测演练,提供数据库优化方面专业建议,在业务高峰期与用户共同保障数据库系统平...
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4119
ESAPIEnterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
esapi jar包
10-25
使用esapi进行Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。
esapi-2.1.0.1_esapi-2.1.0.1_
10-02
提供ESAPI jar包下载 esapi-2.1.0.1.jar
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar)
12-24
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar)
java学习和项目总结
2301_79390585的博客
05-24 650
JRE:JRE是Java 运行时环境,主要包括了两个运行需要的组件:JVM 和 Java 核心类库,如果不进行java开发只想运行就可以只下载JRE。而Java语言,它的代码会先通过javac编译成字节码,再通过jvm将字节码转换成机器码(0和1)执行,即解释运行和编译运行配合使用,所以是混合型。在程序运行之前,通过编译器将源程序编译成机器码可运行的二进制,以后执行这个程序时,就不用再进行编译了。JVM:JVM是java进行编译的虚拟机,是Java 能够跨平台运行的核心。特点:执行速度慢、效率低;
Java高级面试精粹:问题与解答集锦(一)
Layla_c的博客
05-23 1395
答案多态是Java中的一个核心概念,它允许不同类的对象对同一消息做出响应,但具体的行为会根据对象的实际类型而有所不同。重载(Overloading):当多个方法具有相同的名称,但参数列表不同时,这称为方法重载。编译器根据方法调用时传递的参数类型和数量来确定调用哪个方法。重写(Overriding):当子类有一个与父类同名、同参数列表的方法时,子类可以提供特定的实现来覆盖父类的方法。运行时,Java虚拟机(JVM)会根据对象的实际类型调用相应的方法,这个过程称为动态绑定或晚期绑定。答案。
【java-数据结构19-队列的模拟实现】
2302_80519942的博客
05-21 806
(这个才是重点)同上,没有元素直接返回即可,只有一个元素(全部置空),普通情况(rear等于前驱,rear置为空),
数据访问与Spring Data JPA
无远弗届
05-25 493
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
operator <=> (spaceship operator)
最新发布
janeqi1987的专栏
05-28 585
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
深入理解Java的垃圾回收机制(GC)实现原理
微笑听雨
05-25 1791
GC是Java虚拟机的重要组成部分,通过自动内存管理,GC提高了Java程序的稳定性和安全性。理解GC的工作原理和不同收集器的特点,有助于选择合适的GC策略,优化应用性能。通过合理配置JVM参数,可以提高GC效率,减少应用停顿时间,提升系统的整体性能。
ESAPI addHeader
07-27
ESAPI (Enterprise Security API) is a security library that provides a set of functions and utilities to help developers protect their applications from common security vulnerabilities. The `add...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值