Telerik RadTabStrip + OWASP安全例外

时间:2012-07-10 15:03:06

标签: telerik owasp

这里有一个加重问题,任何帮助都会很棒。基本上我们的一位客户加强了他们的安全性并实施了OWASP(owasp.org)。现在,我们的一些现有网站功能在回发时返回了安全违规。我将其中一个主要问题缩小到Telerik RadTabStrip。一旦包含RadTabStrip条带的页面回发,OWASP将返回安全违规。不幸的是,我们无法访问日志,客户端给了我们一些片段,但它们似乎与SQL注入相关,并且还在视图状态上进行模式匹配。

然后我创建了一个空白页面,其中一个RadTabStrip带有4个RadTab / RadPageViews,每个包含一个字母和一个可以回发的按钮。单击该按钮后,违反安全规则。所以我大约99.99%肯定它正在返回一个假阳性与RadTab发回的东西。然后,我修改了一个现有页面来实现JQuery选项卡而不是RadTabs。这项工作成功,但问题是这将是一个有点冗长的大修,并希望有人可能对我有一个想法。现在请注意,客户拒绝在OWASP安全性中做出任何例外。

1 个答案:

答案 0 :(得分:0)

“OWASP”是什么意思?

我们有数百个项目。我猜你的意思是ESAPI for .NET?

如果他们不打算调整ESAPI的配置,那么最好的方法是看看是否可以向Telerik发出支持调用,看看是否可以修改RadTabStrip以在ESAPI的范围内完成。

或者,您可以将异常剪切并粘贴,看看我们是否可以解决控件正在做什么,看看是否有可能有效的调整?

感谢 安德鲁

(真的很懈怠)ESAPI for PHP主角,OWASP开发者指南2013负责人,OWASP Top 10 2007领导和混乱总代理