csrfguard3.1学习笔记
来源:互联网 发布:定义数组长度的代码 编辑:程序博客网 时间:2024/06/08 10:53
最近公司的机房需要进行二级等保的复评,其中涉及到应用的漏洞扫描一项,使用的是wvs9.0进行web应用漏洞扫描,高危漏洞没有,中级漏洞扫出来不少,虽然二级等保不要求进行修复,但出于信息安全的原则也进行了一次全面的修复,其中涉及到一中Csrf漏洞,也在网上稍微学习了一下,多余的就不说了,我是使用了Owasp.CsrfGuard这个开源项目来对漏洞进行了修复,下面稍微展开说一下.首先在eclipse中使用git把CsrfGuard项目引入到git repositories库中,跟svn差不多,来:https://github.com/aramrami/OWASP-CSRFGuard.git![引入后图片](http://img.blog.csdn.net/20161025105343950)然后eclipse中用maven把项目import进来. Import->Maven->Existing Maven Projects,选择刚才的git库本地路径.建议把csrfguard和csrfguard-test也引进来.csrfguard-test作为demo项目来进行学习.然后结合https://www.owasp.org/index.php/CSRFGuard_3_Configuration#Unprotected_Pages里面提及的配置对自己的项目进行配置.
主要是配置web.xml和Owasp.CsrfGuard.overlay.properties文件
Owasp.CsrfGuard.properties文件可直接复制test项目中来进行使用.
web.xml主要配置csrfguard切入的方式,使用java和js两种方式,官方例子是两种也同时进行.
Owasp.CsrfGuard.overlay.properties文件中主要配置了一些文件路径的排除,比如图片,css,js等静态资源,否则会造成项目访问不正常的现象,还要根据实际进行测试,进一步调整配置文件,
org.owasp.csrfguard.JavascriptServlet.refererPattern = http://localhost:8082.*
非保护列表主要有三种写法,比如文件后缀(正则匹配)
org.owasp.csrfguard.unprotected.Css=*.css
org.owasp.csrfguard.unprotected.Js=*.js
org.owasp.csrfguard.unprotected.Jpg=*.jpg
org.owasp.csrfguard.unprotected.Png=*.png
全路径匹配
org.owasp.csrfguard.unprotected.Default=%servletContext%/
org.owasp.csrfguard.unprotected.Upload=%servletContext%/upload.html
org.owasp.csrfguard.unprotected.JavaScriptServlet=%servletContext%/JavaScriptServlet
路径扩展
org.owasp.csrfguard.unprotected.Web=%servletContext%/web/*
还有一个小地方注意的是,
官方例子项目tag.jsp中,
” value=””/>
和 这两个标签有点小问题,
按照tld文件里的写法,应该是 和
基本看csrfguard-test实例项目就能应用了,深入了解的话,还是需要看官方文档和源码项目.
- csrfguard3.1学习笔记
- [笔记]JavaScript学习笔记(1)
- 算法笔记 ---- 学习笔记 1
- c++学习笔记学习笔记1
- 机器学习-学习笔记1
- 学习笔记:git学习1
- 机器学习学习笔记1
- VC++学习笔记1
- c#学习笔记(1)
- OPENGL学习笔记1
- FCS学习笔记1
- WTL学习笔记(1)
- oracle8i学习笔记(1)
- UML学习笔记1
- JAVAGUIDE(学习笔记1)
- UML学习笔记(1)
- applet学习笔记1
- Expect学习笔记(1)
- 多项式加减乘求导(链表)(如果多项式不是升序的处理就太恶心了,所以是升序的,我就是这么懒。。。)
- Android开发规范(项目小组)
- android客户端百度云推送的使用总结
- socket套接字
- 使用Windows 高级防火墙 限制远程桌面连接入站IP地址
- csrfguard3.1学习笔记
- 网络编程(一)
- Apache HttpComponents学习笔记(二):HttpClient 接口
- MFC数字图像处理24位图转8位图 等四种图像色彩转换方式
- UITableView实现选择框和编辑状态时cell向右移动的自定义方法
- Android 如何有效的解决内存泄漏的问题
- Thinkphp入口文件判断网页是电脑访问还是手机访问网站
- linearity space filitering
- UVALive 6893 The Big Painting(二维hash,暴力)