ESAPI가있는 웹 양식의 입력 텍스트의 유효성 검사

Question

웹 양식에서 안전하지 않은 입력 텍스트를 확인하려면 ESAPI를 어떻게 사용할 수 있습니까?내 응용 프로그램은 Struts 1.x를 사용하여 작성되므로 유효성 검사가 Actions 클래스에 추가되어야한다고 가정합니다.샘플 / 자습서를 추천하는 모든 샘플?고마워.

Answer 1

일반적으로 훌륭한 자습서가 될 것입니다.

나는 이것에 대해 틀림 없다. 그러나 나는 그들의 Wiki 좋은 자원 부족으로 인해

나는 당신을위한 입력 유효성 검사를 찾고있었습니다 ... 그들이 그 자신을 가지고 있지 않아도됩니다. 나는 그것에 대한 정보를 찾지 못했습니다. 아래의 비디오는 실제 답변을 제공하지 않으면 이메일을 보내 드릴 수 있습니다. 그들은 당신을 올바른 방향으로 데려 올 수 있어야합니다 ... 그리고 당신이 그렇게하는 경우, 우리 모두에게 호의를 베풀고 그들이 자신의 위키를 업데이트 할 수 있습니다!

이메일 : jeff.williams%owasp.org@gtempaccount.com (리더, 소유자)

이메일이 올바르게 보이지 않기 때문에 이것도 확인하지 않으므로

이메일 : kevin.w.wall@gmail.com (소유자, Crypto libs의 코더)

이 YouTube 비디오가 도움이 될 수 있습니다. 그들은 eSapi를 사용하는 방법을 가르치는 것이 많은 자원이 아니라는 것을 언급하지만이 4 개의 비디오에서 그 사실을 고치기를 희망합니다.

1. http://www.youtube.com/watch?v=suphwasb-to <. / a>
2. http://www.youtube.com/watch?v=13o9ryjub3o
3. http://www.youtube.com/watch?v=_b2kv2msjhe <. / li>
4. http://www.youtube.com/watch?v=mmw4fiui5kq <. / li>

   그것은 도움이되기를 바랍니다!

Answer 2

양식 필드의 유효성 검사는 일반적으로 ActionForm 클래스에서 수행됩니다.모든 입력 값이 있으며 모든 유효성 검사가 수행 할 수 있습니다.튜토리얼 (사용 가능한 많은 사용 가능한) CNA가 여기에 있습니다 Struts양식 유효성 검사 및 오류 처리 .Google (Struts Validation)을 사용하여 더 많은 것을 찾을 수 있습니다.

Answer 3

나는 지금 몇 개월 동안 eSAPI 도서관에서 일 해왔다.라이브러리는 입력이 무엇인지 알 수 없거나 입력 할 수 있는지를 알 수 없으므로 라이브러리가 너무 많이 유효성을 검사 할 수 없습니다.그것은 당신이 합법적 인 사용자 입력에있을 수있는 모든 국제 문자를 모두 포함 할 때 특히 그렇습니다.

우리는 인코딩 서버 출력을 위해 대부분 ESAPI 라이브러리를 사용합니다.목적은 실행할 수없는 방식으로 사용자 (또는 가능한 공격자)를 브라우저로 다시 보내는 것입니다.대신 HTML 또는 JavaScript는 텍스트만으로 해석합니다.

이는 모든 유효성 검사 및 ESAPI의 사용자 입력의 인코딩이 모두 보안에 중요합니다.