我最近被委派领导一项任务,旨在改善我们的输入(和输出)验证,并考虑OWASP建议和PCI合规性。在此过程中,我试图评估ESAPI.NET项目的价值,但该项目自09年春季以来似乎没有任何活动,而且目前仍然不完整。
有人使用或扩展过ESAPI.NET v0.2吗?对于构建基础设施以解决目标漏洞,它是否是一个好的起点?
FYI:我正在查看MS AntiXSS,当然,它只涵盖了ESAPI的一部分范围。虽然我们已经很好地处理了SQL注入,但还需要改进。
(如果有人想创建ESAPI标签,请随意。我没有这个权限。)
有人使用或扩展过ESAPI.NET v0.2吗?对于构建基础设施以解决目标漏洞,它是否是一个好的起点?
FYI:我正在查看MS AntiXSS,当然,它只涵盖了ESAPI的一部分范围。虽然我们已经很好地处理了SQL注入,但还需要改进。
(如果有人想创建ESAPI标签,请随意。我没有这个权限。)