問題タブ [antixsslibrary]

セキュリティ監査の結果、当社のサイトは XSS 攻撃に対して脆弱である可能性があることが明らかになりました。現在、これに対する唯一の防御策は、すべてのページでデフォルトの ValidateRequest="true" を使用することです。Microsoft の Anti-XSS ライブラリを調べていて、このビデオを見た後、個々のアイテムを手動でエンコードするのではなく、セキュリティ ランタイム エンジン モジュールを実装してすべてのページを保護したいと思いました[ 1 ]。

私が抱えている問題は、SRE 構成ジェネレーターを使用して antixssmodule.config ファイルを生成することです。アセンブリを探していますが、私たちのサイトは Web アプリケーション プロジェクトではなく Web サイト プロジェクトを使用して構築されているため、アセンブリに組み込まれていません。SRE を使用できるように何らかの方法で構成ファイルを生成することはできますか? それとも、一般的に悪用されるコントロールが既に定義された、このファイルのダウンロード可能なバージョンがあるのでしょうか?

[ 1 ]また、CAT.NET ツールはアセンブリも検索するため、考えられるすべての脆弱性を検出するために CAT.NET ツールを使用することはできません。

ASPページに表示する前に、テキストをエンコードするためにAntiXssライブラリ4.0を使用しています。

これはaspコードです。私が書いているPageLoadで

ここでは、ラベル内のテキストをレンダリングすると & が & として表示されますが、Listbox の場合は & が としてレンダリングされ&ます。しかし、リストボックスでもこれを＆としてレンダリングしたい。これを行う方法？ありがとう、アシュワニ

AntiXssライブラリはhtml5データ属性を取り除いているようですが、その理由を知っている人はいますか？

この入力を保持する必要があります：

anti xssライブラリ（v4.0）を使用する主な理由は、認識されないスタイル属性が解析されないようにするためです。これは可能ですか？

コード：

編集：

以下の入力により、スタイル属性全体が削除されます

入力：

出力：

クライアント側で誰かが私のコードをいじくり回した場合、これは問題ありませんが、データ属性タグも機能する必要があります！

AntiXssLibrary 4.0を使用していますが、\x3cをエスケープしていません。私の間違いは何ですか？

ここhttp://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspxHttpEncoderに基づいて、AntiXssをデフォルトに構成し、の。_encoderTypehttpRuntimeweb.config

非推奨ではなく、AntiXSSEncoder派生したものも作成しますHttpEncoder

HtmlEncodeこれを使用してメソッドをオーバーライドします。

現在、これを閲覧すると：

アラート「haaha」は、AntiXssライブラリが機能していないことを示しています。この番組のようにhttp://channel9.msdn.com/Events/MIX/MIX10/FT05を13分で見たいだけです。

確認するために、これもアクションで設定します。

次に、ビューにこれを置きます：

ブラウザからの値aとbは同じであり、AntiXssがうまく機能していないことを示しています。

更新AntiXssEncoder：エンコーダタイプとして使用した場合にのみ発生しました。これにコメントして再構築すると。一重引用符'はMVCによってエスケープされました。AntiXssが無効になっているようです！私は何かが足りないのですか？\ x3cもビデオのようにエスケープしたいので、これを機能させたいです。

ASP.NET 4を使用してMetaKeywordsおりMetaDescription、すべてのページで適切なメタタグを設定しています。また、アプリケーションのデフォルトのエンコーダーとしてAntiXSSライブラリーを使用しています。

タグは次のようにレンダリングされます。

は、次のようAntiXssLibraryにデフォルトに設定されweb.configています。

これらがこのようにエンコードされていることに問題はありますか？また、このエンコードを取り除く方法はありますか？

haacked で説明されているように、 Microsoft の WPL AntiXSS ライブラリをデフォルトの HTTPEncoder として使用したいのですが、このドキュメントは WPL 3.1 用であり、最新の WPL 4.0 では HTTPEncoder に関する変更があることを読みました。すべての入力フィールドが自動的にエンコードされるように実装する最良の方法は何ですか? ありがとう！

私の会社は、顧客が当社のウェブサイトに提案を投稿することを許可します。この機能は、Facebook の共有リンクに非常に似ています。お客様が URL を入力すると、サイトがスクレイピングされ、画像と説明が取得され、他のお客様が後で確認できるように、説明と画像の URL がデータベースに保存されます。

外部画像を保存/操作するためのリソースはありません。今のところ絶対に必要でない限り、画像の URL を保存してオンロードでレンダリングしたいと考えています。

この機能は実装されましたが、懸念事項がいくつかあります。問題が発生しないように、専門家の助けを借りたいと考えています。

シナリオ 1 顧客 A は、大きな高品質の画像を含む Web サイトから 5 つの提案を投稿します。サイトからそれらの画像を初めてレンダリングして取得するときに、サイトのパフォーマンスが低下するのを防ぐことはできますか?元のサイトへの参照を保持している限り、ローカル コピーを保存することは違法かどうか知っていますか? また、私はホットリンクに反対していますが、ハード ドライブにコピーを保存するのが良い考えかどうかはわかりません。Facebookはそれらを保存しないことに気づきました。常に画像をレンダリングします。それが正しい方法であるため、そのようにしていると確信しています。

b) 顧客 B はこの機能を悪用し、実際に XSS 攻撃を試みています。Anti-XSS 4.0 を利用して、顧客が xss 攻撃を試みないようにするには、出力をエンコードするだけで十分ですか? 私が認識していない他のセキュリティリスクはありますか?

ご協力いただきありがとうございます！

OK これは基本的なパスワード変更フォームです。この入力をサニタイズするにはどうすればよいですか? AntiXSS HtmlEncode を使用しても安全ですか? エンコーディングがランダムに入力された文字を変更しないようにしたい

それを行う最良の方法は何ですか？

お知らせ下さい

私は、ユーザーが提供したURL（リンクに変換される）でXSSを防ぐための良い解決策を見つけようとしていくつかの質問を読んでいました。PHP用のものを見つけましたが、.Net用のものが見つからないようです。

明確にするために、私が欲しいのは、ユーザー提供のテキストを安全にし（ユニコードの落とし穴を含む？）、ユーザー提供のURLを安全にする（aまたはimgタグで使用される）ライブラリーだけです。

StackOverflowが非常に優れたXSS保護を備えていることに気づきましたが、残念ながら、Markdown実装の一部がMarkdownSharpから欠落しているようです。（そして私は私のコンテンツの多くにMarkdownSharpを使用しています）

AntiXSS Encoder 4.1 Beta をランタイム エンコーダー (system.web/httpRuntime で設定) として使用するだけで阻止される XSS 脆弱性の例を探しています。次のような AntiXss 関数への明示的な呼び出しを必要としないものを好むでしょう

ASP.NET ブラックリストを通過するものの、AntiXSS ホワイトリストを通過しない何かを考えています。代替文字セットまたはエンコーディングと関係があるのでしょうか?

UTF-7 の脆弱性をテストしましたが、最新のブラウザーに影響を与えると思われる脆弱性は見当たりません。