我最近的任务是努力通过OWASP建议和PCI合规性来改进我们的输入(和输出)验证。在这个过程中,我正在尝试评估ESAPI.NET项目的价值,该项目自09年春季以来似乎没有看到任何活动,因为它不完整。
有没有人有使用或扩展ESAPI.NET v0.2的经验?今天是建立基础设施来解决目标漏洞的良好起点吗?
仅供参考:我正在研究MS AntiXSS,当然,它只涉及ESAPI范围的一部分。尽管我们需要改进,但我们已经在SQL注入方面做得很好。
(如果有人想创建一个ESAPI标签,请随意。我没有mojo。)
答案 0 :(得分:4)
上周看起来有一些更新:http://code.google.com/p/owasp-esapi-dotnet/source/list
您可以联系该列表中的某个项目负责人,询问发生了什么。
注意:05/26/2012:该项目的最后一次更新是2010年12月4日。是的,它已经死了。
答案 1 :(得分:1)
项目本身似乎已经死了但是有些人维护github副本有几个(次要?)添加...
答案 2 :(得分:0)
看起来ESAPI已经死了。没有人使用它,没有问题,没有论坛,没有信息,没有。 listservs(这是什么,1996年?)也是贫瘠的。文档很糟糕,并且swingset中的示例不起作用(安装的服务器是HTTP而不是HTTPS,并且不能在HTTP模式下进行任何事务)。
似乎是一个死胡同的项目。