He estado en la página de Grupos de Google de la API de seguridad empresarial de OWASP (edición de Java) y he encontrado que falta esta información.
Comienza con org.owasp.esapi.waf.ESAPIWebApplicationFirewallFilter
.
Desde javadocs :
Esta es la clase principal del ESAPI Web Application Firewall (WAF). Es un filtro de servlet J2EE estándar que, en diferentes métodos, invoca la lectura del archivo de configuración y maneja el procesamiento en tiempo de ejecución y el cumplimiento de las reglas especificadas por el desarrollador. Lo ideal es que el filtro esté configurado para capturar todas las solicitudes (/ *) en web.xml. Si hay segmentos de URL que deben ser extremadamente rápidos y no requieren ninguna protección, el patrón puede modificarse con extrema precaución.
La documentación para ESAPI es, en el mejor de los casos, escasa. Aquí hay algunas pepitas que podrían ayudar: