【質問】ASP.NETスレ Part7【雑談】

【質問】ASP.NETスレ Part7【雑談】 (806ﾚｽ)
上下前次 1-新

306(2): 2015/09/10(木)17:42 ID:??? AAS
TextBoxに文字貼り付けるとValidationが反応して怒られる場合有りますよね。
これを無効化するとどう言う危険性が有るんですか?
貼られた文字列を実行する処理など入れて無ければ問題無いですよね？

307: 2015/09/10(木)20:19 ID:??? AAS
>>303
そんなの有ったとしてもアプリケーション側のバグでしょ

308(1): 2015/09/10(木)21:16 ID:??? AAS
>>304
プロジェクトフォルダ内にあるobjフォルダのアセンブリ（dll）自体を参照させたら、
参照側プロジェクトにdllファイルが自動的にコピーされたんだけど。

309: 2015/09/10(木)21:25 ID:??? AAS
>>303
プログラマらしからぬ発言

310: 2015/09/11(金)00:07 ID:??? AAS
>>306
その程度の認識だとXSSの考慮が漏れてそう・・。
まあ出力時にエスケープが徹底されていれば問題ないけど。

311(2): 2015/09/11(金)00:32 ID:??? AAS
クライアントサイドのバリデーションは所詮はユーザビリティ向上くらいの意味だから
切りたければ切っても良いと思うけど、Webアプリまわりのセキュリティについて一度勉強した方が良いのでは。

312: 2015/09/11(金)08:30 ID:??? AAS
>>311
モデルクラスで解決すべき問題だと認識されていますか

313(1): 2015/09/11(金)08:53 ID:??? AAS
>>306
入力した文字列を、表示しようとしただけで攻撃が成功する可能性があるから
よくわからんならそのままにしとけ

314(2): 2015/09/11(金)08:54 ID:??? AAS
>>308
参照にはローカルコピーするかどうかの設定があるわけだが
コピーされたからどうだと？
dll側もデバッグしたいんだろ？素直に言われた通りやっとけ

315(1): 2015/09/11(金)08:56 ID:??? AAS
>>311
いや、たぶん、クライアントサイドでバリデーションするとか言う話ではなく
標準でポスト時にかってにポストデータ検証される機能の事だと思うぞ

まあWebアプリのセキュリティについて勉強しろってのは激しく同意するが

316(1): 2015/09/11(金)09:05 ID:??? AAS
>>313
>入力した文字列を、表示しようとしただけで攻撃が成功する可能性
そんな文字列あるんか？

317(2): 2015/09/11(金)10:47 ID:??? AAS
HTMLENCODEでほぼ解決！
あとは、致命的なバグだろうな。

if (inputvalue == "reset")
{
Reboot;
}

こういうバックドアを書いていたら、入力される文字列で攻撃が完成する。

318(2): 2015/09/11(金)10:54 ID:??? AAS
>>304 >>314
レスいただきありがとうございます。

アセンブリを参照するための方法として、二つあるってこと？

１、dllファイルのみを、参照する側のプロジェクトにコピー
２、プロジェクトフォルダごと、参照する側のプロジェクトから参照する設定を加える

考えられたこととして、
２、の場合だと、被参照プロジェクトでバージョンアップしたとき、
参照側のプロジェクトに影響する。
もちろん、良い意味と、悪い意味と、両方。

１、の場合だと、
省2

319(1): 2015/09/11(金)10:57 ID:??? AAS
>>317
それは入力した文字列を実行するんじゃ無いだろ。単におバカプログラマーだ

320(1): 2015/09/11(金)10:58 ID:??? AAS
>>316
何も考えずにそのまま全部表示しようとしたら
スクリプトインジェクション系の攻撃は全部成功だろ

321(1): 2015/09/11(金)10:59 ID:??? AAS
>>318
.csprojファイル編集したら好きなように出来るだろ。どうでもいい変な事を悩むなよ

322(1): 2015/09/11(金)11:00 ID:??? AAS
>>315
すみません、わかりました。

>>314>dll側もデバッグしたいんだろ？

そういうことです。

323(1): 2015/09/11(金)11:01 ID:??? AAS
>>320
表示って、textboxに入力されたら内容をそのままtextboxに表示するだけだぞ。
それで攻撃が完了するのか？

324(1): 2015/09/11(金)11:02 ID:??? AAS
>>321
GUI操作にとらわれずに、自分で、アセンブリ参照を書き換えなさいってことでしょうか。

325(1): 2015/09/11(金)11:06 ID:??? AAS
>>324
書き換えたければそう言う方法もあるっていうだけで、勧めている訳ではないが、設定の多くはcsprojファイルに書かれて居るので、手っ取り早い方法はcsprojの編集だとおもう。

上下前次 1-新書関写板覧索設栞歴

あと 481 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.009s