我是java安全的新手,我需要为我的项目实现输入验证器,我们正在使用struts 2.5.13,我们正在通过对比安全工具进行测试。
我们有对比工具显示的一个漏洞,即“表达语言注入”,在我对Owasp网站的研究中,我看到两个项目,一个是 Stinger Filter 和其他参数验证过滤。我很困惑,无法确定哪一个更好,可以为我的应用程序提供更多保护。
任何安全专家都可以回答这个问题,我想知道两个项目的想法以及我应该使用哪个以及为什么你认为更好。
如果您向我提供一些详细的见解并帮助我理解安全原则,我将感谢您。
答案 0 :(得分:0)
Stinger和PVF都很古老。我不会用。幸运的是,您不需要验证。您需要防止不受信任的输入(例如HTTP参数)进入表达式引擎。因此,请看一下Contrast给您的完整堆栈。查找代码中实现此目标的位置。然后修复它。不幸的是,问题可能不在您的代码中,而可能在Struts本身中。在这种情况下,您应该升级到最新版本。如果那不能解决问题,那么您已经在Struts中发现了一个新漏洞-名利双收。或者,您可以仅打开Contrast Protect来防止利用所有EL漏洞。