いくつかのClassicASPアプリでOWASPを使用しようとしていますが、ステップバイステップのように、その方法について多くの情報が見つかりませんでした。
サイトはスタートアップポイントであるように見えます:https ://www.owasp.org/index.php/Classic_ASP_Security_Projectしかし、誰かがビデオを持っていますか、それともステップバイステップですか?
本当にありがたいです。
2608 次
2 に答える
8
従来のASPには実際のセキュリティはありません。
- 認証モデルがないため、すべてのアプリが独自のことを行う必要があります
- セッション識別子をローテーションしたり、セッションハイジャックを防止したりする機能がないため、セッション管理が弱くなります。アンチCSRFサポートはありません
- 承認モデルはありません。したがって、すべてのアプリは独自のことを行う必要があります。つまり、ほとんどの従来のASPアプリケーションには、プレゼンテーション、ビジネスロジック、およびデータモデルの各レイヤーでアクセス制御の問題があります。
- ほとんどの入力検証は文字列置換であるため、入力検証は弱く、これでは不十分です。
- 出力エンコーディングにはserver.htmlencode()とurlencodeのみがありますが、他の10程度の出力コンテキストには他のメソッドがないため、XSSが使用される可能性があります。
- ストアドプロシージャを使用する以外にSQLインジェクションを防ぐ方法はありませんが、間違って実行するとリスクが伴います。
- ActiveXサーバーオブジェクトを使用してWin32APIを呼び出してWindowsイベントログを使用しない限り、ログを記録する簡単な方法はありません。これらはローカライズされたリソースで使用するように設計されており、syslogとは異なり、これは簡単でも単純でもありません。
- ASP内のセキュリティ構成は、その単純で古くからのルーツを反映して最小限に抑えられています。物事を改善するためにコードまたはglobal.asa内でできることはほとんどありません。
ESAPIを従来のASPに移植する努力がありました。私は彼らが終わったとは思わない。COMエクスポートを介してESAPIfor.NETを使用できる場合がありますが、必ずしも機能するとは限りません。
この段階で、ASP.NET4.0以降へのアップグレードを検討する必要があります。
Andrew van
derStockOWASP開発者ガイド2013リーダーに感謝し
ます
于 2012-08-22T08:03:32.833 に答える
0
OWASPの代わりに、.NetライブラリであるMicrosoftAntiXSSを使用できます。唯一の問題は、ClassicAspから直接インスタンス化できないことです。.net dll(COMから表示)を作成し、AntiXSSの関数をラップする必要があります。
ダウンロード:http ://www.microsoft.com/en-us/download/details.aspx?id = 28589
于 2013-02-20T10:57:35.930 に答える