【質問】ASP.NETスレ Part7【雑談】

【質問】ASP.NETスレ Part7【雑談】 (806ﾚｽ)
上下前次 1-新

308(1): 2015/09/10(木)21:16 ID:??? AAS
>>304
プロジェクトフォルダ内にあるobjフォルダのアセンブリ（dll）自体を参照させたら、
参照側プロジェクトにdllファイルが自動的にコピーされたんだけど。

309: 2015/09/10(木)21:25 ID:??? AAS
>>303
プログラマらしからぬ発言

310: 2015/09/11(金)00:07 ID:??? AAS
>>306
その程度の認識だとXSSの考慮が漏れてそう・・。
まあ出力時にエスケープが徹底されていれば問題ないけど。

311(2): 2015/09/11(金)00:32 ID:??? AAS
クライアントサイドのバリデーションは所詮はユーザビリティ向上くらいの意味だから
切りたければ切っても良いと思うけど、Webアプリまわりのセキュリティについて一度勉強した方が良いのでは。

312: 2015/09/11(金)08:30 ID:??? AAS
>>311
モデルクラスで解決すべき問題だと認識されていますか

313(1): 2015/09/11(金)08:53 ID:??? AAS
>>306
入力した文字列を、表示しようとしただけで攻撃が成功する可能性があるから
よくわからんならそのままにしとけ

314(2): 2015/09/11(金)08:54 ID:??? AAS
>>308
参照にはローカルコピーするかどうかの設定があるわけだが
コピーされたからどうだと？
dll側もデバッグしたいんだろ？素直に言われた通りやっとけ

315(1): 2015/09/11(金)08:56 ID:??? AAS
>>311
いや、たぶん、クライアントサイドでバリデーションするとか言う話ではなく
標準でポスト時にかってにポストデータ検証される機能の事だと思うぞ

まあWebアプリのセキュリティについて勉強しろってのは激しく同意するが

316(1): 2015/09/11(金)09:05 ID:??? AAS
>>313
>入力した文字列を、表示しようとしただけで攻撃が成功する可能性
そんな文字列あるんか？

317(2): 2015/09/11(金)10:47 ID:??? AAS
HTMLENCODEでほぼ解決！
あとは、致命的なバグだろうな。

if (inputvalue == "reset")
{
Reboot;
}

こういうバックドアを書いていたら、入力される文字列で攻撃が完成する。

318(2): 2015/09/11(金)10:54 ID:??? AAS
>>304 >>314
レスいただきありがとうございます。

アセンブリを参照するための方法として、二つあるってこと？

１、dllファイルのみを、参照する側のプロジェクトにコピー
２、プロジェクトフォルダごと、参照する側のプロジェクトから参照する設定を加える

考えられたこととして、
２、の場合だと、被参照プロジェクトでバージョンアップしたとき、
参照側のプロジェクトに影響する。
もちろん、良い意味と、悪い意味と、両方。

１、の場合だと、
省2

319(1): 2015/09/11(金)10:57 ID:??? AAS
>>317
それは入力した文字列を実行するんじゃ無いだろ。単におバカプログラマーだ

320(1): 2015/09/11(金)10:58 ID:??? AAS
>>316
何も考えずにそのまま全部表示しようとしたら
スクリプトインジェクション系の攻撃は全部成功だろ

321(1): 2015/09/11(金)10:59 ID:??? AAS
>>318
.csprojファイル編集したら好きなように出来るだろ。どうでもいい変な事を悩むなよ

322(1): 2015/09/11(金)11:00 ID:??? AAS
>>315
すみません、わかりました。

>>314>dll側もデバッグしたいんだろ？

そういうことです。

323(1): 2015/09/11(金)11:01 ID:??? AAS
>>320
表示って、textboxに入力されたら内容をそのままtextboxに表示するだけだぞ。
それで攻撃が完了するのか？

324(1): 2015/09/11(金)11:02 ID:??? AAS
>>321
GUI操作にとらわれずに、自分で、アセンブリ参照を書き換えなさいってことでしょうか。

325(1): 2015/09/11(金)11:06 ID:??? AAS
>>324
書き換えたければそう言う方法もあるっていうだけで、勧めている訳ではないが、設定の多くはcsprojファイルに書かれて居るので、手っ取り早い方法はcsprojの編集だとおもう。

326(1): 2015/09/11(金)11:08 ID:??? AAS
>>319
入力された文字が実行されたり、(インジェクションとか、xss)
入力された文字が「意図された」コードの実行を起こしたり、(>>317)
あくまでコードが正しく実行されて、攻撃が完成する場合は納得できます。

しかし、.net側のセキュリティーホールで、意図しないところで攻撃が実現されてしまうことはあるんでしょうかね。

いままで、フレームワーク上の欠陥で、セキュリティーホールが生じたことってあったのかなあ。
そうでなければ、あとはプログラマの技量だけで、どうにでもなりますよね。
WEBを全世界に公開するのもためらいませんが、,net事態の欠陥で、危ぶまれるのなら、躊躇するなあ。

327(2): 2015/09/11(金)11:09 ID:??? AAS
>>318
そこに書いてあるけど、dll側もデバッグしたいんだろ？

その参照されるdllってのは、元プロジェクトから切り出した部分じゃないのか？
つまり自分で変更するし、変更が反映されないと困るんじゃないのか？
そのdll（のソース）に手を入れない前提なら好きにすればいい

上下前次 1-新書関写板覧索設栞歴

あと 479 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.012s