我正在使用'org.owasp.esapi.waf.ESAPIWebApplicationFirewallFilter'来处理OWASP Top 10漏洞。使用这种方法是正确的方法吗?以及如何配置 WAF 策略.xml ?
从文档中:
这是 ESAPI Web 应用程序防火墙 (WAF) 的主类。 它是一个标准的 J2EE servlet 过滤器,在不同的方法中, 调用配置文件的读取并处理运行时 处理和执行开发人员指定的规则。理想情况下 筛选器应配置为捕获 Web.xml 中的所有请求 (/*)。如果 有些 URL 段需要非常快,但不需要 需要任何保护,模式可能会被极端修改 谨慎。
若要使用筛选器,请在web.xml
中添加org.owasp.esapi.waf.ESAPIWebApplicationFirewallFilter
,然后在project library.
中添加jar
文件
<filter>
<filter-name>ESAPI-WAF</filter-name>
<filter-class>org.owasp.esapi.waf.ESAPIWebApplicationFirewallFilter</filter-class>
</filter>