java - 似乎无法让 ESAPI Validator getValidInput() 处理 URL 参数-6ren

java - 似乎无法让 ESAPI Validator getValidInput() 处理 URL 参数

转载作者：行者123 更新时间：2023-12-02 04:14:11

29

4

我正在尝试使用 ESAPI 编码器来识别和规范化 URL 编码的查询参数。它有点有效，但不是 API 所示的那样。这是我的类，下面是它生成的输出:

代码

package test.test;

import org.owasp.esapi.ESAPI;
import org.owasp.esapi.Validator;
import org.owasp.esapi.errors.EncodingException;
import org.owasp.esapi.errors.IntrusionException;
import org.owasp.esapi.errors.ValidationException;

public class ESAPITester {

    public static void main(String argsp[]) throws ValidationException, 
    IntrusionException, EncodingException {

        String searchString = "-/+=_ !$*?@";
        String singleEncoded = ESAPI.encoder().encodeForURL(searchString);
        String doubleEncoded = ESAPI.encoder().encodeForURL(singleEncoded);
        Validator validator = ESAPI.validator();
        System.out.println("Searched        : " + searchString);
        System.out.println("Single encoded  : " + singleEncoded);
        System.out.println("Double encoded  : " + doubleEncoded);
        System.out.println("Decode from URL : " + ESAPI.encoder().decodeFromURL(singleEncoded));
        System.out.println("Canonicalized   : " + ESAPI.encoder().canonicalize(singleEncoded));
        System.out.println("Valid input     : " + validator.getValidInput("http", 
                searchString, "HTTPParameterValue", 100, true, true));
        System.out.println("Valid from Encoded : " + validator.getValidInput("http", 
                singleEncoded, "HTTPParameterValue", 100, true, true));

    }
}

输出

Searched        : -/+=_ !$*?@
Single encoded  : -%2F%2B%3D_+%21%24*%3F%40
Double encoded  : -%252F%252B%253D_%2B%2521%2524*%253F%2540
Decode from URL : -/ =_ !$*?@
Canonicalized   : -/+=_+!$*?@
Valid input     : -/+=_ !$*?@
log4j:WARN No appenders could be found for logger (IntrusionDetector).
log4j:WARN Please initialize the log4j system properly.
log4j:WARN See http://logging.apache.org/log4j/1.2/faq.html#noconfig for more info.
Exception in thread "main" org.owasp.esapi.errors.ValidationException: http: Invalid input. Please conform to regex ^[\p{L}\p{N}.\-/+=_ !$*?@]{0,1000}$ with a maximum length of 100
    at org.owasp.esapi.reference.validation.StringValidationRule.checkWhitelist(StringValidationRule.java:144)
    at org.owasp.esapi.reference.validation.StringValidationRule.checkWhitelist(StringValidationRule.java:160)
    at org.owasp.esapi.reference.validation.StringValidationRule.getValid(StringValidationRule.java:284)
    at org.owasp.esapi.reference.DefaultValidator.getValidInput(DefaultValidator.java:214)
    at test.test.ESAPITester.main(ESAPITester.java:25)

我的问题是:为什么 getValidInput() 没有规范化 URL 编码的输入参数？我很好奇为什么 canonicalize() 方法会这样做，但最后一个参数('canonicalize')设置为 true 的 getValidInput() 却不会。

最佳答案

所以问题变成:

why the 2nd validator.getValidInput() call throws an exception, when all it is expected to do is to canonicalize the input and validate that it matches the expected value. In other words, the direct call to canonicalize() works, but the call to getValidInput() fails.

这里有些事情非常不对劲。在从 OWASP 源存储库获取的 HTTPParameterValue 版本中，正则表达式为 ^[a-zA-Z0-9.\\-\\/+=@_ ]*$ 有人操纵了 HTTPParameterValue，使其看起来更像 SafeString:^[\\s\\p{L}\\p{N}。 ]{0,1024}$

See line 440.

这是错误的。不应更改默认的 ESAPI 值，如果您需要自定义更改，请使用已建立的模式编写全新的 validator.properties 条目。

但是，您的测试仍然会失败，因为字符串解码为 -/+=_ !$*?@ 并且 ? 是 http 查询中的保留字符。

From an earlier spec:

3.4. Query Component

The query component is a string of information to be interpreted by the resource.
  query         = *uric
Within a query component, the characters ";", "/", "?", ":", "@",
"&", "=", "+", ",", and "$" are reserved.

根据您运行的正则表达式，为什么输入失败，^[\\p{L}\\p{N}.\\-/+=_ !$*?@] {0,1000}$, read the code.在第 266 行，您将看到受影响的方法。

这是您想要查看的内容:

public String getValid( String context, String input ) throws ValidationException
    {
        String data = null;

        // checks on input itself

        // check for empty/null
        if(checkEmpty(context, input) == null)
            return null;

        if (validateInputAndCanonical)
        {
            //first validate pre-canonicalized data

            // check length
            checkLength(context, input);

            // check whitelist patterns
            checkWhitelist(context, input);

            // check blacklist patterns
            checkBlacklist(context, input);

            // canonicalize
            data = encoder.canonicalize( input );

        } else {

            //skip canonicalization
            data = input;           
        }

        // check for empty/null
        if(checkEmpty(context, data, input) == null)
            return null;

        // check length
        checkLength(context, data, input);

        // check whitelist patterns
        checkWhitelist(context, data, input);

        // check blacklist patterns
        checkBlacklist(context, data, input);

        // validation passed
        return data;

在尝试规范化您的输入之前，正则表达式会被检查。

关于java - 似乎无法让 ESAPI Validator getValidInput() 处理 URL 参数，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33490640/

29

4

0

文章推荐： java - GWT 客户端 : java. util 还是 com.google.gwt.dev.util？

文章推荐： java - 书籍对象的 boolean 值

文章推荐： java - 如何为计算器创建命令行参数

文章推荐： java - 简单的定时器，时间间隔怎么讲？

java - 似乎 Hibernate 超出了连接限制
谁能帮我解决这个问题？我有一个 Tomcat 和简单的 JSF 应用程序:https://github.com/gooamoko/jsfbilling/ .当我在 Tomcat 上运行应用程序时，它运
testing - 似乎 Groovy 在这两种情况下的行为不同？
我有两个这样的域类，第一个是 Manager : package com.mnm class Manager { String name; static hasMany = [ pro
c - 似乎 pthread_create 无法获得正确的参数
当我运行以下代码时，打印输出似乎不正确。 void thread_Calc(int *pos) { printf("recieved %d\n", *pos); sig = -1; man
c - 似乎 printf 使我的程序出现错误
这个问题在这里已经有了答案: How to access a local variable from a different function using pointers? (10 个答案) 关闭
c# - 似乎 ConcurrentBag 不是线程安全的
我编写了一个程序，其中列表构建器方法返回 IEnumerable of string，其中包括大量字符串(100 万个项目)，我将其存储在 List of string 中，然后它将所有项目附加到中
c - 似乎 pthread_create 正在覆盖以前的线程
我正在尝试编写一个 IRC 类型的聊天客户端，它具有可以连接到服务器的客户端。我试图让它在本地 atm 上工作(使用 FIFOS 而不是套接字)。我遇到了以下我似乎无法解决的问题: 接受新的客户端连
php - 似乎 Cron 工作在停止后仍在工作
我的一个 cronjobs 每天发送一封电子邮件 35 6 * * * cd $EZPUBLISHROOT && $PHP runcronjobs.php -q 2>&1 我停止使用 cron sud
wpf - 通过分页器保存和打印 XPSDocument(似乎)会导致内容光栅化
我使用 WPF 打印路径来处理在我们的应用程序中创建的大型图表。整个图表由视觉效果组成。所谓的“DesignerPaginator”对图表进行分页(非常简单)。从这一点来说，我做了以下三件事: -
android - 似乎 ApplicationInfo.FLAG_UPDATED_SYSTEM_APP 无法正常工作
我尝试在更新之前跟踪系统应用程序并使用: public static boolean isSystemApplication(Context ctx, IContent content) {
sql - 似乎 NOT IN 降低了 Postgresql 查询的性能
我在这里附上了一个查询分析结果，https://explain.depesz.com/s/x9BN 这是查询 EXPLAIN ANALYZE SELECT branche
tomcat - 似乎 CXF 不是每次都生成 wsdl
我正在做一个 CXF(spring) 项目 (HUB)。部署后，我可以看到肥皂和休息服务列表，我通过两个地址打开它。一种是使用本地主机，第二种是使用我电脑的 ip。所以我得到了这些输出。使用本地主机
swift - 似乎 Swfit.AnyHashable 不适合使用枚举 (as!, as?, as)
这是一个 AnyHashable 不支持枚举转换的简单案例。 enum testEnum: String { case Test } let myObject: AnyHashable = t
c# - 为什么列表比较失败，如果列表(似乎)相同
我的主要目标是比较存储在数据库和 XLSX 文件中的数据。为此，我按以下方式创建了两个列表: private class ProductList { public string produc
c++ - 更新 CMake(似乎)破坏了我的程序
我从 CMake 3.6 更新到任何最新版本 (3.12.0-rc2)，现在我的一个程序无法编译。奇怪的是，错误消息显示了标准库本身中的 undefined symbol 。这是错误消息: Unde
android - 似乎 windowAnimationStyle 被忽略了，如何为自定义对话框设置动画？
我希望将我的自定义对话框动画化为从特定点出现，但我无法为对话框设置动画。该对话框是一个基本的 RelativeLayout，设置为 extends Dialog 类中的布局。正如这里的一些答案所建
php - 即使具有(似乎)正确的文件权限，上传目标文件夹似乎也不可写
我已经在这个论坛上调查过很多类似的问题，但似乎没有一个能解决我的问题。我会在底部列出我在这个论坛上看到的一些问题页面，但让我先谈谈我对这个问题的看法。我正在使用 codeigniter v 2.x
docker-compose - systemd:似乎 ExecStop 脚本在启动命令运行后立即执行
我正在尝试在 RHEL 7 上启动一个 docker-compose 项目作为 systemd 服务。这是我的 systemd 脚本 (/etc/systemd/system/wp.service):
java - 似乎

这个问题已经有答案了: "Notice: Undefined variable", "Notice: Undefined index", "Warning: Undefined array key",

docker-compose - systemd:似乎 ExecStop 脚本在启动命令运行后立即执行
我正在尝试在 RHEL 7 上启动一个 docker-compose 项目作为 systemd 服务。这是我的 systemd 脚本 (/etc/systemd/system/wp.service):
java - 似乎 JPanel 背景未在 FocusListener 中读取
此问题出现在my last question here之后。我想将每个按钮聚焦和失去焦点背景设置为主菜单(ContentPane 即 JPanel)下方的背景颜色，因此按钮看起来像选项卡。它在不同的环

首页

博学

6Ren·AI

商城

java - 似乎无法让 ESAPI Validator getValidInput() 处理 URL 参数