【转】WEB安全-ESAPI

最新推荐文章于 2024-04-08 09:42:58 发布
最新推荐文章于 2024-04-08 09:42:58 发布
阅读量902 收藏 3
点赞数 2
文章标签: 开发语言 spring java
原文链接:https://blog.csdn.net/frog4/article/details/81876462
版权

ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码

其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持

安装篇
第一步:引入Jar

Maven:

<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.1.0.1</version>
</dependency>

gradle

compile group: 'org.owasp.esapi', name: 'esapi', version: '2.1.0.1'

直接下载Jar
https://search.maven.org/search?q=g:org.owasp.esapi

第二步:加入配置文件
在工程的资源文件目录下增加配置文件ESAPI.properties及validation.properties,文件内容可为空。如果为空则都取默认值。建议参考以下文件内容设置
ESAPI.properties

# 是否要打印配置属性,默认为true
ESAPI.printProperties=true

ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController
ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator
ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder
ESAPI.Encryptor=org.owasp.esapi.reference.crypto.JavaEncryptor
ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor
ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities
ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector
ESAPI.Logger=org.owasp.esapi.reference.JavaLogFactory
ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer
ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator


#===========================================================================
# ESAPI Encoder
Encoder.AllowMultipleEncoding=false
Encoder.AllowMixedEncoding=false
Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec


#===========================================================================
# ESAPI 加密模块
Encryptor.PreferredJCEProvider=
Encryptor.EncryptionAlgorithm=AES
Encryptor.CipherTransformation=AES/CBC/PKCS5Padding
Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC
Encryptor.cipher_modes.additional_allowed=CBC
Encryptor.EncryptionKeyLength=128
Encryptor.ChooseIVMethod=random
Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f
Encryptor.CipherText.useMAC=true
Encryptor.PlainText.overwrite=true
Encryptor.HashAlgorithm=SHA-512
Encryptor.HashIterations=1024
Encryptor.DigitalSignatureAlgorithm=SHA1withDSA
Encryptor.DigitalSignatureKeyLength=1024
Encryptor.RandomAlgorithm=SHA1PRNG
Encryptor.CharacterEncoding=UTF-8
Encryptor.KDF.PRF=HmacSHA256

#===========================================================================
# ESAPI Http工具

HttpUtilities.UploadDir=C:\\ESAPI\\testUpload
HttpUtilities.UploadTempDir=C:\\temp
# Force flags on cookies, if you use HttpUtilities to set cookies
HttpUtilities.ForceHttpOnlySession=false
HttpUtilities.ForceSecureSession=false
HttpUtilities.ForceHttpOnlyCookies=true
HttpUtilities.ForceSecureCookies=true
# Maximum size of HTTP headers
HttpUtilities.MaxHeaderSize=4096
# File upload configuration
HttpUtilities.ApprovedUploadExtensions=.zip,.pdf,.doc,.docx,.ppt,.pptx,.tar,.gz,.tgz,.rar,.war,.jar,.ear,.xls,.rtf,.properties,.java,.class,.txt,.xml,.jsp,.jsf,.exe,.dll
HttpUtilities.MaxUploadFileBytes=500000000
# Using UTF-8 throughout your stack is highly recommended. That includes your database driver,
# container, and any other technologies you may be using. Failure to do this may expose you
# to Unicode transcoding injection attacks. Use of UTF-8 does not hinder internationalization.
HttpUtilities.ResponseContentType=text/html; charset=UTF-8
# This is the name of the cookie used to represent the HTTP session
# Typically this will be the default "JSESSIONID" 
HttpUtilities.HttpSessionIdName=JSESSIONID



#===========================================================================
# ESAPI Executor
Executor.WorkingDirectory=
Executor.ApprovedExecutables=


#===========================================================================
# ESAPI Logging
# Set the application name if these logs are combined with other applications
Logger.ApplicationName=ExampleApplication
# If you use an HTML log viewer that does not properly HTML escape log data, you can set LogEncodingRequired to true
Logger.LogEncodingRequired=false
# Determines whether ESAPI should log the application name. This might be clutter in some single-server/single-app environments.
Logger.LogApplicationName=true
# Determines whether ESAPI should log the server IP and port. This might be clutter in some single-server environments.
Logger.LogServerIP=true
# LogFileName, the name of the logging file. Provide a full directory path (e.g., C:\\ESAPI\\ESAPI_logging_file) if you
# want to place it in a specific directory.
Logger.LogFileName=ESAPI_logging_file
# MaxLogFileSize, the max size (in bytes) of a single log file before it cuts over to a new one (default is 10,000,000)
Logger.MaxLogFileSize=10000000


#===========================================================================
# ESAPI Intrusion Detection
IntrusionDetector.Disable=false
IntrusionDetector.event.test.count=2
IntrusionDetector.event.test.interval=10
IntrusionDetector.event.test.actions=disable,log

IntrusionDetector.org.owasp.esapi.errors.IntrusionException.count=1
IntrusionDetector.org.owasp.esapi.errors.IntrusionException.interval=1
IntrusionDetector.org.owasp.esapi.errors.IntrusionException.actions=log,disable,logout

IntrusionDetector.org.owasp.esapi.errors.IntegrityException.count=10
IntrusionDetector.org.owasp.esapi.errors.IntegrityException.interval=5
IntrusionDetector.org.owasp.esapi.errors.IntegrityException.actions=log,disable,logout

IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.count=2
IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.interval=10
IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.actions=log,logout


#===========================================================================
# ESAPI 校验器
#校验器的配置文件
Validator.ConfigurationFile=validation.properties

# Validators used by ESAPI
Validator.AccountName=^[a-zA-Z0-9]{3,20}$
Validator.SystemCommand=^[a-zA-Z\\-\\/]{1,64}$
Validator.RoleName=^[a-z]{1,20}$

#the word TEST below should be changed to your application 
#name - only relative URL's are supported
Validator.Redirect=^\\/test.*$

# Global HTTP Validation Rules
# Values with Base64 encoded data (e.g. encrypted state) will need at least [a-zA-Z0-9\/+=]
Validator.HTTPScheme=^(http|https)$
Validator.HTTPServerName=^[a-zA-Z0-9_.\\-]*$
Validator.HTTPParameterName=^[a-zA-Z0-9_]{1,32}$
Validator.HTTPParameterValue=^[a-zA-Z0-9.\\-\\/+=@_ ]*$
Validator.HTTPCookieName=^[a-zA-Z0-9\\-_]{1,32}$
Validator.HTTPCookieValue=^[a-zA-Z0-9\\-\\/+=_ ]*$

# Note that max header name capped at 150 in SecurityRequestWrapper!
Validator.HTTPHeaderName=^[a-zA-Z0-9\\-_]{1,50}$
Validator.HTTPHeaderValue=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ ]*$
Validator.HTTPContextPath=^\\/?[a-zA-Z0-9.\\-\\/_]*$
Validator.HTTPServletPath=^[a-zA-Z0-9.\\-\\/_]*$
Validator.HTTPPath=^[a-zA-Z0-9.\\-_]*$
Validator.HTTPQueryString=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ %]*$
Validator.HTTPURI=^[a-zA-Z0-9()\\-=\\*\\.\\?;,+\\/:&_ ]*$
Validator.HTTPURL=^.*$
Validator.HTTPJSESSIONID=^[A-Z0-9]{10,30}$

# Validation of file related input
Validator.FileName=^[a-zA-Z0-9!@#$%^&{}\\[\\]()_+\\-=,.~'` ]{1,255}$
Validator.DirectoryName=^[a-zA-Z0-9:/\\\\!@#$%^&{}\\[\\]()_+\\-=,.~'` ]{1,255}$

# Validation of dates. Controls whether or not 'lenient' dates are accepted.
# See DataFormat.setLenient(boolean flag) for further details.
Validator.AcceptLenientDates=false

validation.properties

# 校验某个字段的正则表达式
Validator.SafeString=^[.\\p{Alnum}\\p{Space}]{0,1024}$
Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+\\.[a-zA-Z]{2,4}$
Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$
Validator.URL=^(ht|f)tp(s?)\\:\\/\\/[0-9a-zA-Z]([-.\\w]*[0-9a-zA-Z])*(:(0-9)*)*(\\/?)([a-zA-Z0-9\\-\\.\\?\\,\\:\\'\\/\\\\\\+=&amp;%\\$#_]*)?$
Validator.CreditCard=^(\\d{4}[- ]?){3}\\d{4}$
Validator.SSN=^(?!000)([0-6]\\d{2}|7([0-6]\\d|7[012]))([ -]?)(?!00)\\d\\d\\3(?!0000)\\d{4}$
第三步:测试

增加测试类:

import org.owasp.esapi.ESAPI;

public class Test {

    public static void main(String args[]) {
        System.out.println(ESAPI.encoder().encodeForHTML("<a href='sdfs'></a> < script > alert(); </ script >"));
    }
}
使用篇
针对xss漏洞
//对用户输入“input”进行HTML编码,防止XSS
input = ESAPI.encoder().encodeForHTML(input);
//根据自己不同的需要可以选用以下方法
//input = ESAPI.encoder().encodeForHTMLAttribute(input);
//input = ESAPI.encoder().encodeForJavaScript(input);
//input = ESAPI.encoder().encodeForCSS(input);
//input = ESAPI.encoder().encodeForURL(input);
针对sql注入漏洞

除了支持mysql还支持oracle

String input1="用户输入1";
String input2="用户输入2";

//解决注入问题
input1 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input1);
input2 = ESAPI.encoder().encodeForSQL(new MySQLCodec(MySQLCodec.Mode.STANDARD),input2);

String sqlStr="select name from tableA where id="+input1 +"and date_created ='" + input2+"'";
验证输入

检查每个输入的有效性,让每个输入合法。这里面的关键是一切都进行验证。ESAPI提供了很多常见的校验,可以方便针对不同的需要做校验

//type就是定义在validate.properties文件中的正则表达式
//ESAPI.validator().getValidInput(java.lang.String context,java.lang.String input, java.lang.String type,int maxLength,boolean allowNull);

//ESAPI.validator().isValidInput(java.lang.String context,java.lang.String input, java.lang.String type,int maxLength,boolean allowNull);

//实际使用参考如下:
String input="xxxx.com";

        if(!ESAPI.validator().isValidInput("",input,"Email",11,false)){
            System.out.println("出错了");
        }

        try{

            input = ESAPI.validator().getValidInput("",input,"Email",11,false);
        }catch (Exception e){
            System.out.println("输入错误");
            e.printStackTrace();
        }

验证恶意文件

//校验文件名
String inputfilename ="xxxx.txt";
ArrayList<String> allowedExtension = new ArrayList<String>();
allowedExtension.add("exe");
allowedExtension.add("jpg");

if(!ESAPI.validator().isValidFileName("upload",inputfilename, allowedExtension,false)){
   //文件名不合法,throw exception
   System.out.println("出错了");
}

//获取随机文件名
System.out.println(ESAPI.randomizer().getRandomFilename("exe"));
//得到结果rnQO8AK4ymmv.exe

参考文献:

WEB安全编程技术规范(V1.0) - 百度文库 (baidu.com)

xian_wwq
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
koa-web-api:Koa Web Api样板
02-03
koa-web-api Koa Web Api样板
【ESAPI】WEB安全ESAPI使用
后端研发工程师Marion的博客
03-30 4049
ESAPI可以使用构建工具如Maven和Gradle进行安装,也可以手动下载jar包后导入到项目中。ESAPI的配置文件需要在classpath中或指定的位置中定义路径。同时,如果您需要记录日志,您还需要定义日志记录器和日志格式。ESAPI提供了多种输入验证API,提供对XSS攻击和SQL注入攻击等的防护。这将验证输入是否有效。它通过检查输入的长度和字符集来防止XSS攻击和SQL注入攻击。ESAPI提供了多种加密API,可以用于密码和数据的加密。
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4110
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi
最新发布
2201_75604694的博客
04-08 732
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
ESAPI配置方法
qq_40260565的博客
11-06 5091
ESAPI配置方法一、导入jar包二、在resource文件夹下添加ESAPI.properties配置文件 一、导入jar包 <!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId>
Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf
09-14
文档内容是 Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf 整本书
esapi配置文件
08-06
在网上都是esapi包,此处将esapi的3个配置文件打包上传,方便各位配置
ESAPI自定义配置文件路径
Aaron-x的博客
03-07 4160
原文链接 文章目录 前言 一、pom依赖 二、ESAPI配置文件 1.ESAPI.properties 2.validation.properties 3.esapi-java-logging.properties 4.antisamy-esapi.xml 5.配置文件放置位置 6.自定义配置文件路径,封装ESAPI方法 一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId>
Elastic stack技术栈学习(十)— springboot集成ES API详解
qq_44886213的博客
03-12 6409
在test里测试一下各个API。 打开es,也运行es-head,方便观察。 一、关于索引的API详解 这里的client对ES发出请求,就相当于我们的kibana。 1.1 声明客户端 @SpringBootTest class SpringEsApiApplicationTests { @Autowired @Qualifier("restHighLevelClient") private RestHighLevelClient client; //加上@@Qualifier,就可以
关于ESAPI获取资源文件问题
热门推荐
Jasper的博客
11-08 1万+
近期项目中需要使用到组件包ESAPI(ESAPI是owasp提供的一套API级别的web应用解决方案),其官方网站为:https://www.owasp.org/, 有兴趣的小伙伴可以了解一下。此处不是本文重点, 本文重点记录一下使用此组件时遇到的资源加载问题。 引入jar &amp;amp;lt;!-- https://mvnrepository.com/artifact/org.owasp.esapi/esa...
Spring集成ESAPI
苏北讲道理给你听
05-16 3656
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
ESAPI使用方法
11-16
ESAPI入门使用例子,防XSS攻击,防SQL注入,过滤等等。
java源码api-esapi-java-legacy:ESAPI(OWASP企业安全性API)是一个免费的,开放源代码的Web应用程序安全
05-25
java原始api Java企业安全性API(旧版) OWASP:registered:ESAPI(OWASP企业安全性API)是一个免费的,开放源代码的Web应用程序安全控制库,使程序员可以更轻松地编写低风险的应用程序。 用于Java的ESAPI库旨在使程序员更轻松地将安全性改造到现有应用程序中。 Java的ESAPI还为新开发奠定了坚实的基础。 OWASP ESAPI Wiki页面在哪里? 您可以在找到OWASP ESAPI Wiki页面。 ESAPI旧版GitHub存储库也有一些有用的Wiki页面。 旧版是什么意思? 这是ESAPI的旧分支,这意味着它是项目的一个积极维护的分支,但是将*不*进行*重要*的新功能开发。 已经为2.x分支计划的功能将继续前进。 您可以在[找到该GitHub存储库。 重要说明: ESAPI传统的默认分支现在是“ develop”分支(而不是“ main”(以前是“ master”)分支),现在将在此完成将来的开发,错误修复等。 “主”分支现在标记为“受保护”; 它反映了最新的稳定ESAPI版本(截至该日期为止为2.1.0.1)。 请注意,将'develop'分支设置为默认设
owasp-esapi-js:最初是从code.google.compowasp-esapi-js导出的UNMAINTAINTED项目。 该项目已弃用。 有关更多详细信息和可能的替代方法,请参见README.md。
05-02
弃用-OWASP JavaScript企业安全性API(ESAPI-JS) 该文件是开放Web应用程序安全性项目(OWASP)企业安全性API(ESAPI)项目的一部分。 有关详细信息,请参阅 。 版权所有(c)2008-OWASP基金会 ESAPI由OWASP根据BSD许可发布。 在使用,修改和/或重新分发此软件之前,您应该阅读并接受许可。 警告:此项目已弃用且未维护。 使用风险自负。 不再支持该项目。 已知它可能会受到“攻击者”漏洞的影响(特别是CVE-2019-5484)。 可以通过将ESAPI-JS升级为使用Bower 1.8.8或更高版本来解决此漏洞,但是已经尝试过此漏洞,并在使用NPM时导致部署问题。 有关详细信息,请参见随后的讨论。 ESAPI-JS的潜在替代品(又名ESAPI4JS) -ESAPI-JS输出编码器的最小端口,它不依赖于Bower,截至撰写本文时(2
esapi jar包
10-25
使用esapi进行Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。
ESAPI学习笔记
weixin_30487201的博客
12-22 1235
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
ES基础篇 常用API之搜索API(URL搜索)
u010088278的博客
06-24 3166
该篇主要介绍ES的URL搜索方式,主要介绍一些常用的参数和使用方法
ES状态查询相关API
spirit_8023的博客
08-15 3854
elasticsearch api
ESAPI简介
peterxiaoq的专栏
06-14 6202
ESAPI简介  ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。     ESAPI是OWASP组织的一个开源项目,网址是: http://www.owasp.org/index.php/ESAPI     ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计: 具有一个安全接口集; 对每一种安全
springboot 2.3 集成安全 esapi
01-09
Spring Boot 2.3的整合安全ESAPI可以按照以下步骤实现: 1. 添加ESAPI Maven依赖:在pom.xml文件中添加ESAPI的Maven依赖,例如: ```xml <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.3.1</version> </dependency> ``` 2. 创建ESAPI配置文件:在src/main/resources目录下创建`ESAPI.properties`文件,并配置相应的ESAPI属性,例如: ``` ESAPI.Encoder.EncodeAll=true ESAPI.Encoder.AllowMultipleEncoding=true ... ``` 3. 创建ESAPI过滤器:创建一个实现`javax.servlet.Filter`接口的ESAPI过滤器,在过滤器中初始化ESAPI的配置,并对请求进行安全处理,例如: ```java public class ESAPIFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化ESAPI配置 ESAPI.properties = "/path/to/ESAPI.properties"; // ... } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 请求安全处理 ESAPI.httpUtilities().setCurrentHTTP(request, response); // ... chain.doFilter(request, response); } public void destroy() { // ... } } ``` 4. 注册ESAPI过滤器:在Spring Boot应用的主类中使用`@ServletComponentScan`注解并注册ESAPI过滤器,例如: ```java @SpringBootApplication @ServletComponentScan public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 5. 配置ESAPI过滤器的URL映射:在`web.xml`文件中配置ESAPI过滤器的URL映射,例如: ```xml <filter> <filter-name>esapiFilter</filter-name> <filter-class>com.example.ESAPIFilter</filter-class> </filter> <filter-mapping> <filter-name>esapiFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 以上是使用Spring Boot 2.3集成安全ESAPI的基本步骤,根据实际需求,还可以根据ESAPI的文档和示例进行更进一步的配置和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值