OWASP Java 编码器项目是否能够逃脱所有 XSS?按方法
Encode.forHtmlContent(value)
Encode.forJavaScript(value)
Encode.forXml(value)
或者更好地使用其他解决方案?
您为 Java 应用程序建议使用哪种 OWASP 解决方案?
我已经搜索了几个小时,但找不到有关如何执行此操作的明确示例。如果您可以向我展示一个保护接受输入数据的页面然后将其显示在另一个页面上的示例,这对我将非常有帮助,非常感谢。
我正在使用带有retirejs的owasp依赖工具,并且我试图弄清楚如何在我的构建中排除整个文件夹。现在我就这样了
dependencyCheck{
outputDirectory = "${projectDir}/reports"
suppressionFile = "${projectDir}/gradle/owasp_config/suppress.xml"
analyzers {
experimentalEnabled = true
assemblyEnabled = false
retirejs {
filterNonVulnerable = true
}
}
scanSet = ['build/deploy/scripts']
}
但在 scanSet 中有一个包含 yui 的文件夹,我想在扫描过程中完全忽略它。我可以在抑制文件中抑制单个 cve,但它们有 300 多个,因此全局排除将是一个更好的解决方案。
我已经安装了 OWASP ZAP 2.8.0 并完全扫描了我们的网站。结果我们得到了一些 SQL 注入 URL 或页面。所以我们已经修复了开发中提到的 OWASP 工具中的 SQL 注入问题。
如何在 OWASP 中扫描特定页面或 URL?
例子:
我们对http://www.samples.com进行了全面扫描,结果我们得到的以下 URL 是可能的 SQL 注入。 http://www.samples.com/sales
因此,在开发过程中,我们仅针对此页面提供了一些修复。如果我们再次扫描http://www.samples.com/sales进行检查。它扫描我们的完整网站。需要2天以上才能完成。如何在 OWASP 中扫描特定页面或 URL?
我已经尝试过这个 - https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsImporturlsImportUrls但不起作用。
谢谢,
为了便于阅读,我们在 Jenkins 的系统消息中包含 HTML,但有时也会包含链接以方便用户。这可以包括文档、电子邮件、Jira 项目等的链接。
最近,我们尝试向 Slack 支持渠道添加深层链接。然而,由于我们配置了安全 HTML,因此这会被 OWASP 标记格式化程序插件阻止。
由于管理员通常负责系统消息,因此似乎应该有一个选项来禁用系统消息的安全 HTML,但否则将其保留在实例中。
Jenkins 中是否有一个选项可以禁用系统消息的 OWASP 格式并将其保留在其他地方?或者可能是可以运行一个自定义的groovy脚本来完成类似的事情?
也许有一个 OWASP 选项允许我们指定允许深度链接的应用程序列表?
要求是对需要在 Azure DevOps 发布管道中进行身份验证的网站执行 OWASP ZAP 扫描。无法找到对经过身份验证的网页执行此操作的方法。请指导我。我可以从 Azure DevOps 市场找到使用 OWASP ZAP 扫描仪扩展的方法,但无法找到有关如何在管道中使用身份验证进行配置的正确说明。
提前致谢。
owasp zap azure-devops azure-pipelines azure-pipelines-release-pipeline
我已经生成 bom 并将它们与 Dependency Track 一起用于一些使用 Gradle 构建的项目。有一个 CycloneDx Gradle 插件非常适合此目的。不过,我也在处理许多使用 Ant 构建的较旧的 Java 项目。我一直无法在任何地方找到 Ant 工具来生成 bom。那里有吗?如果没有,生成 bom 文件的最佳方法是什么?
如果可以从 Windows 命令提示符完成,我可能可以使用它,因为我会将批处理脚本添加到我的 Jenkins 构建中。
我正在使用 owasp-java-html-sanitizer 并尝试将 id 属性添加到 HTML 代码中的每个 h2 标签,该属性应该在多个页面加载过程中保持不变,但对于页面上的每个元素都是唯一的(如 id 属性所定义的) )。我尝试对所有元素进行计数以获得索引并将索引添加到每个 h2 元素。但是,我目前无法在 java 中访问这些数据。然后我使用了 UUID.randomUUID(),但是由于它是随机的,因此 id 不是持久的。
这是我目前拥有的代码:
public PolicyFactory HtmlPolicy() {
return new HtmlPolicyBuilder()
.allowElements("h3", "h4", "h5", "h6", "p", "span", "br", "b", "strong", "i", "em", "u", "hr", "ol", "ul", "li",
"img", "table", "tr", "th", "td", "thead", "tbody", "tfoot", "caption", "colgroup", "col", "blockquote", "figure", "figcaption", "object", "iframe")
.allowElements(
(String elementName, List<String> attrs) -> {
String uniqueID = UUID.randomUUID().toString();
// Add an attribute.
attrs.add("id");
attrs.add("headline-" + uniqueID);
attrs.add("class");
attrs.add("scrollspy"); …我在https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_Support上阅读了OWASP的HSTS备忘单, 并观看了相关视频:https: //www.youtube.com/watch?v = zEV3HOuM_Vw
但是,在用户输入http://site.com的情况下,我仍然无法理解这有助于防止中间人攻击.OWASP声称它有所帮助.
让我们想象下面的场景:中间人得到受害者的请求:http://site.com.然后他将自己的HTTPS请求激活到https://site.com并将内容返回给用户,剥离HSTS标头.攻击者可以看到所有进一步的用户输入.
在我看来,除非我们从一开始就使用HTTPS,否则无法防范MITM.
HSTS标题真的可以帮助抵御MITM攻击吗?
我很困惑地看到CORS 的OWASP网站备忘单上的这个矛盾:
有很多信息浮出水面,您应该回显Origin请求标头,这样我就无法想象除了使用*通配符的公共API之外没有这样做的原因.我的观点是,如果您按照此处的建议将原始域列入白名单,那么您可以防止欺骗Origin标头.我错过了什么吗?这只是该备忘单上的拼写错误吗?