es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Es el Proyecto OWASP Java Encoder suficiente para prevenir XSS reflejado?

02 Jun, 2023 Programación

He estado leyendo artículos sobre prevención de XSS reflejado. Por lo que entiendo, la codificación de salida es la principal forma de tratar con XSS reflejado. Algunas herramientas disponibles serían el proyecto OWASP Java Encoder y OWASP ESAPI. Tengo una aplicación web java/JSP. No estoy seguro si la validación de entrada también debe realizarse en el archivo .jsp cuando ya hay una validación de entrada en el archivo .java correspondiente. Así que tengo las siguientes preguntas:
1. ¿Es suficiente el proyecto OWASP Java Encoder para prevenir XSS reflejados?
2. ¿Necesito hacer una validación de entrada en el archivo .jsp?
3. Si la respuesta a la pregunta 2 es afirmativa, ¿sería mejor crear mis propias funciones de validación de entrada o utilizar la clase ESAPI Validator?
4. Si tengo que usar ESAPI, significa que necesito agregar ESAPI.properties y validation.properties. Dado que mi proyecto es un proyecto Ant, ¿dónde agrego estos archivos?

Gracias de antemano.

Tags:  , , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Respuestas

    1. El proyecto OWASP Java Encoder es una excelente herramienta para codificar la salida y prevenir ataques XSS reflejados. Sin embargo, es crucial tener en cuenta que la codificación de salida por sí sola no es suficiente; es necesario adoptar un enfoque de defensa en profundidad para garantizar que se aborden todos los posibles vectores de ataque.
    2. Si bien la validación de entrada suele realizarse en la capa Java, es beneficioso realizar validación adicional en la capa JSP para detectar cualquier vulnerabilidad que se haya pasado por alto. Este enfoque agrega otra capa de seguridad que puede evitar que los atacantes aprovechen cualquier falla.
    3. Crear una función personalizada de validación de entrada puede ser adecuado, pero se recomienda encarecidamente utilizar la clase Validator de ESAPI, ya que ha sido ampliamente probada y evaluada por profesionales de seguridad. Esto le ahorrará tiempo y esfuerzo al tiempo que proporciona una fuerte protección contra ataques XSS.
    4. Agregar los archivos ESAPI.properties y validation.properties se debe hacer en el directorio raíz del proyecto. Puede especificar la ubicación del archivo de propiedades de ESAPI utilizando la propiedad del sistema org.owasp.esapi.reference.ESAPI.securityConfiguration. También puede establecer la ubicación del archivo de configuración del validador de ESAPI utilizando la propiedad del sistema org.owasp.esapi.reference.ESAPI.validator. ConfigurationFile.

Comments are closed.