0

セキュリティ監査の結果、当社のサイトは XSS 攻撃に対して脆弱である可能性があることが明らかになりました。現在、これに対する唯一の防御策は、すべてのページでデフォルトの ValidateRequest="true" を使用することです。Microsoft の Anti-XSS ライブラリを調べていて、このビデオを見た後、個々のアイテムを手動でエンコードするのではなく、セキュリティ ランタイム エンジン モジュールを実装してすべてのページを保護したいと思いました[ 1 ]

私が抱えている問題は、SRE 構成ジェネレーターを使用して antixssmodule.config ファイルを生成することです。アセンブリを探していますが、私たちのサイトは Web アプリケーション プロジェクトではなく Web サイト プロジェクトを使用して構築されているため、アセンブリに組み込まれていません。SRE を使用できるように何らかの方法で構成ファイルを生成することはできますか? それとも、一般的に悪用されるコントロールが既に定義された、このファイルのダウンロード可能なバージョンがあるのでしょうか?

[ 1 ]また、CAT.NET ツールはアセンブリも検索するため、考えられるすべての脆弱性を検出するために CAT.NET ツールを使用することはできません。

4

1 に答える 1

2

基本的にいいえ、ターゲット アセンブリなしでは生成できないため、Web サイト プロジェクトは機能しません。もちろん、すべての Microsoft Web コントロールを取得するデフォルトの web.config を使用することもできます (私は信じています)。

ただし、SRE は、脆弱な Web サイトを修正できるようになるまでの間、脆弱な Web サイトに対するパッチとして提供されるものであり、恒久的な解決策ではありません。より良いアプローチは、根本的な問題に対処し、ブラウザーに出力する前にすべての信頼できない入力をエンコードしていることを確認することです。

于 2010-12-03T17:34:01.723 に答える