Questa domanda è stata originariamente richiesta su stackoverflow
Spero che qui in questo forum sulla sicurezza trovo più persone perché spero che alcune persone usino la roba esapi?
Ho un piccolo progetto JavaEE, e devo proteggerlo con l'ESAPI OWASP
Ho integrato ESAPI in questo modo in Maven:
<!-- ESAPI Version 2.0.1 -->
<dependency>
<groupId>org.owasp.esapi</groupId>
<artifactId>esapi</artifactId>
<version>2.0.1</version>
</dependency>
Quindi dopo questo posso usare le classi ESAPI per la programmazione.
Ho anche incluso la cartella .esapi all'avvio del server:
-Dorg.owasp.esapi.resources=/home/joergi/.esapi/
Ho anche copiato ESAPI.properties e validation.properties in
src/main/resources
(Non sono sicuro che funzioni, ma non ricevo errori all'avvio del server)
Ho dato un'occhiata alla guida all'installazione di ESAPI (pdf (veramente scarsamente documentato) e copiato l'esempio
"To test if ESAPI has been successfully integrated and configured, create a file called EsapiIntegrationTest.java and paste in:"
import org.owasp.esapi.ESAPI;
public class EsapiTest {
public static void main(String[] args){
System.out.println("ESAPI.accessController found: "
+ ESAPI.accessController());
}
}
"If you can run this file and see the println output, then ESAPI has been successfully installed and configured! You can now begin using ESAPI functionality to secure your web applications!"
Ho "tradotto" per il mio esempio:
@ManagedBean(name="testController")
@RequestScoped
public class TestController {
public String esapiTest(){
System.out.println("ESAPI.accessController found: "
+ ESAPI.accessController());
return "ESAPI.accessController found: " + ESAPI.accessController();
}
}
e ho un file test.xhtml :
<?xml version="1.0" encoding="UTF-8"?>
<ui:composition xmlns="http://www.w3.org/1999/xhtml"
xmlns:ui="http://java.sun.com/jsf/facelets"
xmlns:f="http://java.sun.com/jsf/core"
xmlns:h="http://java.sun.com/jsf/html"
template="/WEB-INF/templates/default.xhtml">
<ui:define name="content">
<h2>esapi test</h2>
<h:outputText value="#{testController.esapiTest()}" />
</ui:define>
</ui:composition>
Quando inserisci test.xhtml ottengo questo errore veramente lungo (per una vista più bella puoi vederlo anche in pastebin.com/6an0awMc)
< >
Conosco la demo di Swingset ESAPI - e questa è in esecuzione nella mia configurazione
Ho 2 domande:
Il mio creatore e il mio server iniziano la configurazione giusta?
perché l'errore sembra che ESAPI non riesca a trovare le funzioni del logger ESAPI ....
E
È addirittura possibile utilizzare il semplice codice di prova nel frammento?
(p.s. anche provato senza Maven e solo includendo il jar scaricato - ma non funziona)
Mi manca qualcosa del tipo:
(questo è dall'esempio demo swingset, NON dal mio stesso progetto)
Seeking ESAPI.properties
Not found in 'org.owasp.esapi.resources' directory or file not readable: /home/joergi/dev/projects/esapi_demo_1punkt0/ESAPI.properties
Not found in SystemResource Directory/resourceDirectory: .esapi/ESAPI.properties
Not found in SystemResource Directory/.esapi: .esapi/ESAPI.properties
Not found in SystemResource Directory: ESAPI.properties
Found in 'user.home' directory: /home/joergi/.esapi/ESAPI.properties
Loaded 'ESAPI.properties' properties file
Seeking validation.properties
Not found in 'org.owasp.esapi.resources' directory or file not readable: /home/joergi/dev/projects/esapi_demo_1punkt0/validation.properties
Not found in SystemResource Directory/resourceDirectory: .esapi/validation.properties
Not found in SystemResource Directory/.esapi: .esapi/validation.properties
Not found in SystemResource Directory: validation.properties
Found in 'user.home' directory: /home/joergi/.esapi/validation.properties
Loaded 'validation.properties' properties file
Seeking ESAPI_logging_file
Not found in 'org.owasp.esapi.resources' directory or file not readable: /home/joergi/dev/projects/esapi_demo_1punkt0/ESAPI_logging_file
Not found in SystemResource Directory/resourceDirectory: .esapi/ESAPI_logging_file
Not found in SystemResource Directory/.esapi: .esapi/ESAPI_logging_file
Not found in SystemResource Directory: ESAPI_logging_file
Found in 'user.home' directory: /home/joergi/.esapi/ESAPI_logging_file
Speriamo che qualcuno possa aiutarti!