OWASP TOP 10 - 4.不安全的直接对象引用 - 其他方式然后是JSF 1.2 + JAVA + SEAM中的ESAPI

Question

JSF 1.2或SEAM 2.2.2中是否已集成任何内容以防止A4-Insecure Direct Object References

我知道ESAPI函数可以做到这一点，但我不希望在我的项目中包含另一个框架，如果没有必要，是否有任何构建到JSF或SEAM中的东西？

Answer 1

您有几种选择：

1. 验证对SQL语句中安全资源的访问
2. 间接对象哈希映射是一个非常简单的构造，实际上是10行代码。只需重新实施，并小心你的随机性来源
3. 更改您的taglibraries以执行ASP.net所做的事情 验证已约束的复选框，无线电组，选择等 输入，具有与其中一个潜在输入相同的值 发出（即如果你有“1”，“2”和“3”，参数是 这三个价值观之一。 JSF 2和Rich Faces仍然没有为您提供ASP.NET 2.0级别的基础软件工程。
4. 使用s：来自Faces集成的validateForm来执行编程检查。

老实说，我认为（2）是最好的选择，因为我知道引入ESAPI for J2EE需要为几行代码稍微安静一点。为什么它需要一个自定义的filebaseauthenticator来进行DOR映射超出我的范围。我的目标是在PHP的ESAPI中进行更松散的耦合，但是我已经花了一段时间来攻击ESAPI for J2EE。