アプリケーションのコード入力ページにセキュリティを適用する

Question

Oracle 11gデータベースにgrails-groovy（現バージョン1.3.7）ベースのアプリケーションがあります。 セキュリティ強化/プラグインの可能性を考えているので、OWASPの苦情を言わなければなりません。 主な問題点は次のとおりです。 アプリケーションでは、新しい電子メールテンプレートを作成して保存できる電子メールテンプレート機能があります。テンプレートを作成するには、このテンプレートページに手動でコードを書き込む必要があります。 （実装は、我々はそれを確保する必要が行われます！） コードが

1からなる）Groovyのコード
2）
3）SQL selectクエリを（我々はへの読み取り専用ように、ユーザーを制限することができ、タグをGrailsの
4）HTMLタグ
テンプレートは、テンプレートをコンパイル、実行し、電子メールに送信してから送信するアプリケーションで使用されます。

私はmarkup-sanitizerプラグインとHDIV APIについて知り、それについて考えていますが、どうすればこの機能をさらに保護できますか？

Answer 1

これは、ユーザーを信頼する必要がある機能だと思います。私の見地から見ると、この種のマークアップは消毒できません。悪意のあるコードを挿入する方法は多すぎます。 （「安全なコードの作成」を参照）

OWASPに関しては、常に攻撃の可能性と害の可能性を分析する必要があります。あなたが信頼する管理者だけがこのテンプレートエンジンにアクセスできれば、リスクは低いと思います。

それ以外の場合は、フリーフォームテンプレートの代わりにテンプレートジェネレータを作成する必要があります。しかし、これはあなたの記述からは、SQLクエリービルダーとある種のテンプレートビルダーが必要なので大きな努力が必要です。

だから、安全な実装が可能なような方法で要件を再定義してください。