it-swarm-es.com

¿Cómo protege OWASP ESAPI contra las vulnerabilidades de referencia de objetos directos?

¿Qué otras buenas soluciones hay?


De la propuesta de Área51

5
AviD

Resumiendo el enlace de ATDRE: OWASP ESAPI proporciona convenientemente un mapeo de un conjunto de referencias indirectas a las referencias directas, por lo que es conveniente que incluso puede usar un mapeo diferente sobre cada solicitud a su servicio.

Las alternativas incluyen seguridad administrada por contenedores, apache shiro y seguridad de primavera, todos los cuales se discuten en A Pregunta de StackoverFlow .

4
minopret

En el proyecto OWASP ESAPI de código abierto, hay una arquitectura de ejemplo con los controles correctos en su lugar para evitar los identificadores. En esa arquitectura hay una interfaz llamada AccessEferenceMap.

El AccessReferenceMap La interfaz se extiende Java.io.Serializable y se usa para asignar un conjunto de referencias de objetos internos directos a un conjunto de referencias indirectas que son seguras para divulgar públicamente. Se puede usar para ayudar a proteger las claves de la base de datos, los nombres de archivos y otros tipos de referencias directas de objetos. Como regla general, los desarrolladores no deben exponer sus referencias de objetos directos, ya que esto permite a los atacantes intentar manipularlos.

https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/ORG/OWASP/ESAPI/AccessReFermencEmap.html

3
atdre