【问题标题】:How can I use the StringEscapeUtils Class to secure the code from LDAP injection vulnerabilities?如何使用 StringEscapeUtils 类来保护代码免受 LDAP 注入漏洞的影响?
【发布时间】:2014-12-14 22:33:14
【问题描述】:

如何使用StringEscapeUtils 类来保护代码免受 LDAP 注入漏洞的影响? 我该如何逃脱searchBasesearchMaskscontrols

try {
do {


NamingEnumeration<SearchResult> answer = null;
try {
   answer = ctx.search(searchBase, searchMask, scontrols);
   printSearchEnumeration(answer);
   if (maxSize == 0)
     exceedLimit = false;
   else {
     if (list.size() >= maxSize)

【问题讨论】:

    标签: java security ldap code-injection


    【解决方案1】:

    你不能使用StringEscapeUtils,因为只有Escapes and unescapes Strings for Java, Java Script, HTML and XML.

    您应该使用肯定的验证方案来确保 LDAP 查询仅包含“安全”字符。在某些情况下,您将能够转义特殊字符,但这与 HTML 和 Javascript 转义不同。查看OWASP's Preventing LDAP Injection in Java

    【讨论】:

      猜你喜欢
      • 2013-03-12
      • 2018-07-24
      • 1970-01-01
      • 2014-04-01
      • 1970-01-01
      • 2010-10-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多