ESAPI 설명자료~ 넘 간단한 설명인가~ App보안

---

OWASP Enterprise Security API

OWASP Top 10 number 3: Malicious File Execution
http://java.dzone.com/articles/owasp-top-10-number-3

위 글에서는 OWASP(The Open Web Application Security Project)에서 상위 10대 보안 취약점을 발표한 것 중에 3위를 차지한 Malicious File Execution을 방지하는 방법을 보여준다. 여기서는 HTTPUtilities라는 인터페이스의 getSafeFileUploads라는 메서드를 이용해서 악성 파일 업로드를 방지할 수 있다고 얘기하는데, 이 인터페이스는 아래 링크의 프로젝트에서 제공하고 있다.

owasp-esapi-java
OWASP Enterprise Security API (Java Edition)
http://code.google.com/p/owasp-esapi-java/

소개글에도 나와 있듯, ESAPI(Enterprise Security API)는 개발자들에게 필요한 보안 함수 모음이다. 여기엔 위에서 설명한 HTTPUtilities를 비롯해서 각 tier마다 필요한 보안 함수의 인터페이스를 제공하고 있으며, reference에는 실제로 이들 인터페이스를 구현한 Reference Implementation이 들어있어 이를 참고해서 필요에 맞게 특화시켜 사용하면 되겠다.

또 프로젝트 페이지에는 이 프로젝트를 소개하는 슬라이드 자료도 있다.

http://owasp-esapi-java.googlecode.com/files/OWASP%20ESAPI.ppt

여기서 "Banned Java APIs" 제목의 슬라이드를 보면 현재 쓰고 있는 함수 가운데 어떤 것을 ESAPI에서 제공하는 함수로 바꿀 수 있는지 나와 있으니 개발시 참고하면 되겠다.

지금 소개한 ESAPI는 닷넷 용도 있다.

http://code.google.com/p/owasp-esapi-dotnet

닷넷 용은 소스 코드는 파일 형태로 제공하지는 않지만 source 섹션에서 필요한 소스코드를 찾아보면 된다. Download 섹션에는 어셈블리와 문서(chm파일)만 제공하지만 실제 사용하는데는 별 문제가 없다.



출처 : http://decoder.tistory.com/tag/ESAPI

---