Spring Boot 应用程序的 logback 是否支持 OWSAP ESAPI 日志记录?我做了很多研究,但对此找不到太多。我发现org.owasp.esapi在这个PR之后现在支持这个。但这意味着我将不得不取消 logback。有没有一种方法可以使用 logback 实现 OWSAP ESAPI 日志记录?我们正在使用slf4jlogback 提供的记录器。
我查看了 logback 的 maven页面,自 2017 年以来没有任何重大版本。所以我猜测 logback 不支持 OWSAP ESAPI 日志记录。如果我错了,请纠正我。如果是这种情况,我可以使用其他替代方案吗?
另外根据这个spring-boot 不支持 slf4j 1.8 及以上版本。如果是这种情况,我可以使用其他替代方案吗?
我一直在研究 OWASP 建议以防止 CSRF 攻击(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet)。
现在,我不明白的是,这将如何防止 XSS 和 CSRF 攻击的组合攻击。假设我们有以下攻击场景:
攻击者能够执行存储型 XSS 攻击,以便每次用户访问该页面时都会执行攻击者在网站上插入的脚本。
该脚本将完全重新设计 DOM,例如,攻击者的脚本不再需要用户提供一些不相关的信息的原始表单,而是重新设计该表单,以便将该表单重新设计为添加具有管理员权限的用户的表单。请注意,用户不会看到这一点,因为字段的标签将保持不变。只是 POST 会有所不同。
攻击者知道该网站使用反 CSRF 令牌。查看 OWASP 建议:“(..)应用程序应包含一个具有通用名称(如“CSRFToken”)的隐藏输入参数”,攻击者知道大多数网站在页面上的某处都会有一个带有此 id 的隐藏字段。
攻击者确保该字段的值也在伪造的 POST 中提交。即使攻击者不知道这个隐藏字段的值,它也可以在 POST 中指定该值应与请求一起发送。这是可能的,因为用户的 DOM 已被修改,请求将来自用户的浏览器,用户的 cookie 也会随请求一起发送。
用户提交表单,然后创建假用户。
在我看来,仅使用 CSRF 令牌无法避免这种情况。或者同步器模式的隐含假设是 XSS 攻击已被消除?
我们目前正在使用OWASP Antisamy项目来保护我们的应用程序免受XSS攻击.当任何给定表单提交给服务器时,每个输入字段都被清理.它工作正常,但我们在公司名称,组织名称等字段方面存在问题.
例如:Ampersand为AT&T进行转义,公司名称显示错误(显示转义字符).
我们手动更新数据库中的字段以解决此问题.然而,你可以想象这是一个痛苦的脖子.
有没有办法使用OWASP反歧视来解决这个问题,还是应该使用不同的库?
有没有办法在公司代理后面使用ZAP?即我想配置我的浏览器使用ZAP提供的本地代理,然后ZAP应通过我们的全局代理发送请求:
Firefox -> ZAP -> WSA proxy (NTLM) -> Intarweb
即使ZAP不支持NTLM代理,也应该知道,因为我也在本地为那些无法正确处理身份验证的应用程序运行CNTLM.
(我试图寻找一个解决方案但是当然不可能找到与名称中有"代理"的应用程序的代理有关的任何事情...:/)