Validando o texto de entrada em formulários da Web com o ESAPI
-
11-12-2019 - |
Pergunta
Como eu poderia usar o ESAPI para verificar se há textos inseguros de entrada em formulários da Web?Minha aplicação é construída usando Struts 1.x, então eu suponho que as validações devem ser adicionadas às classes de ações.Quaisquer amostras / tutoriais que você recomenda?Obrigado.
Solução
Para algo tão específico quanto não, geralmente não será ótimo tutoriais.
Espero que eu esteja errado sobre isso, mas eu teria que sugerir o seu Wiki Devido à falta de bons recursos.
Eu estava procurando encontrar a validação de entrada para você ... Parece que eles nem sequer têm isso. Eu não encontro nenhuma informação sobre isso também. Os vídeos abaixo podem ter ou eu enviaria e-mails se não forneça uma boa resposta real. Eles devem ser capazes de colocá-lo na direção certa ... e se você fizer isso todos um favor e exigir que eles atualizem seu wiki!
Email: jeff.williams%wasp.org@gtempaccount.com (líder, proprietário)
Como esse e-mail não parece certo, embora também veria este.
Email: kevin.w.wall@gmail.com (proprietário, codificador de Crypto libs)
Seus são esses vídeos do YouTube que podem ajudar. Eles até mencionam que não são muitos bons recursos para ensiná-lo a usar o ESAPI, mas disse que esperam consertar isso nesses quatro vídeos.
- .
- http://www.youtube.com/watch?v=suphwasb- / a>
- http://www.youtube.com/watch?v=13o9ryjub3o < / li >.
- http://www.youtube.com/watch?v=_b2kv2msjhe < / li >.
- http://www.youtube.com/watch?v=mmw4fiui5kq < / li >.
Espero que tenha ajudado!
Outras dicas
A validação dos campos de forma normalmente é feita na classe ACTIONFOR.Existem todos os valores de entrada disponíveis e todas as validações podem ser feitas lá.Um tutorial (um dos muitos disponíveis) CNA pode ser encontrado aqui Strutsvalidação de formulário e manuseio de erros .Mais pode ser encontrado usando o Google (validação de Struts).
Eu tenho trabalhado com a biblioteca ESAPI por alguns meses agora.A biblioteca não pode fazer muito para validar sua entrada, pois não pode saber qual pode ser a entrada ou deve ser.Que é especialmente verdadeiro quando você fator em todos os personagens internacionais que podem estar em uma entrada legítima do usuário.
Nós usamos a biblioteca ESAPI principalmente para a saída do servidor de codificação.O objetivo é enviar o usuário (ou possível atacante) Entrada de volta ao navegador de forma que ele não possa ser executado.Em vez disso HTML ou JavaScript interpreta-o apenas como texto.
É por isso que a minha validação e a codificação da entrada do usuário da ESAPI são importantes para segurança.