【質問】ASP.NETスレ Part7【雑談】

【質問】ASP.NETスレ Part7【雑談】 (806ﾚｽ)
上下前次 1-新

315(1): 2015/09/11(金)08:56 ID:??? AAS
>>311
いや、たぶん、クライアントサイドでバリデーションするとか言う話ではなく
標準でポスト時にかってにポストデータ検証される機能の事だと思うぞ

まあWebアプリのセキュリティについて勉強しろってのは激しく同意するが

316(1): 2015/09/11(金)09:05 ID:??? AAS
>>313
>入力した文字列を、表示しようとしただけで攻撃が成功する可能性
そんな文字列あるんか？

317(2): 2015/09/11(金)10:47 ID:??? AAS
HTMLENCODEでほぼ解決！
あとは、致命的なバグだろうな。

if (inputvalue == "reset")
{
Reboot;
}

こういうバックドアを書いていたら、入力される文字列で攻撃が完成する。

318(2): 2015/09/11(金)10:54 ID:??? AAS
>>304 >>314
レスいただきありがとうございます。

アセンブリを参照するための方法として、二つあるってこと？

１、dllファイルのみを、参照する側のプロジェクトにコピー
２、プロジェクトフォルダごと、参照する側のプロジェクトから参照する設定を加える

考えられたこととして、
２、の場合だと、被参照プロジェクトでバージョンアップしたとき、
参照側のプロジェクトに影響する。
もちろん、良い意味と、悪い意味と、両方。

１、の場合だと、
省2

319(1): 2015/09/11(金)10:57 ID:??? AAS
>>317
それは入力した文字列を実行するんじゃ無いだろ。単におバカプログラマーだ

320(1): 2015/09/11(金)10:58 ID:??? AAS
>>316
何も考えずにそのまま全部表示しようとしたら
スクリプトインジェクション系の攻撃は全部成功だろ

321(1): 2015/09/11(金)10:59 ID:??? AAS
>>318
.csprojファイル編集したら好きなように出来るだろ。どうでもいい変な事を悩むなよ

322(1): 2015/09/11(金)11:00 ID:??? AAS
>>315
すみません、わかりました。

>>314>dll側もデバッグしたいんだろ？

そういうことです。

323(1): 2015/09/11(金)11:01 ID:??? AAS
>>320
表示って、textboxに入力されたら内容をそのままtextboxに表示するだけだぞ。
それで攻撃が完了するのか？

324(1): 2015/09/11(金)11:02 ID:??? AAS
>>321
GUI操作にとらわれずに、自分で、アセンブリ参照を書き換えなさいってことでしょうか。

325(1): 2015/09/11(金)11:06 ID:??? AAS
>>324
書き換えたければそう言う方法もあるっていうだけで、勧めている訳ではないが、設定の多くはcsprojファイルに書かれて居るので、手っ取り早い方法はcsprojの編集だとおもう。

326(1): 2015/09/11(金)11:08 ID:??? AAS
>>319
入力された文字が実行されたり、(インジェクションとか、xss)
入力された文字が「意図された」コードの実行を起こしたり、(>>317)
あくまでコードが正しく実行されて、攻撃が完成する場合は納得できます。

しかし、.net側のセキュリティーホールで、意図しないところで攻撃が実現されてしまうことはあるんでしょうかね。

いままで、フレームワーク上の欠陥で、セキュリティーホールが生じたことってあったのかなあ。
そうでなければ、あとはプログラマの技量だけで、どうにでもなりますよね。
WEBを全世界に公開するのもためらいませんが、,net事態の欠陥で、危ぶまれるのなら、躊躇するなあ。

327(2): 2015/09/11(金)11:09 ID:??? AAS
>>318
そこに書いてあるけど、dll側もデバッグしたいんだろ？

その参照されるdllってのは、元プロジェクトから切り出した部分じゃないのか？
つまり自分で変更するし、変更が反映されないと困るんじゃないのか？
そのdll（のソース）に手を入れない前提なら好きにすればいい

328(2): 2015/09/11(金)11:18 ID:??? AAS
>>323
Textbox.Textはたしか勝手にエンコードするから大丈夫
でも全ての表示できる内容がエンコードされるわけじゃない
たしかLabel.Textは生HTMLで出力する
適切にエンコードした出力すれば大丈夫なんだが、それが難しい
せめて危険かどうかの判断ができるようになるまで、保険的にバリデート外すなって言ってる

まあ、あれ、SQL系のインジェクションにはほとんど無力なんだがな

329(1): 2015/09/11(金)11:21 ID:??? AAS
>>328
>SQL系のインジェクション

この対策は、parameterオブジェクトのaddメソッドで、parameterを追加する方法で、
回避可能だと聞いたことがあります。もちろん、ストアドプロシジャでしか使えないけど。

330: 2015/09/11(金)11:23 ID:??? AAS
>>328
Labelも含めて、ブラウザに出力するコントロールのすべてにおいて、
デフォで、htmlEcodeをかけておいてほしかったな。

必要なら、意識して自分で外せるようにしておいてもらったほうが良かった。

331(1): 2015/09/11(金)11:23 ID:??? AAS
>>326
>net側のセキュリティーホールで、意図しないところで攻撃が実現されてしまうことはあるんでしょうかね。
可能性としては当然ある
>フレームワーク上の欠陥で、セキュリティーホールが生じたことってあったのかなあ。
いくらでもある
何のためにマイクロソフトがいっぱいアップデートパッチ出してると思ってるんだ

少なくともお前や俺がミスってセキュリティホール作る方が
フレームワークの欠陥で穴が見つかるよりよっぽど可能性が高いから心配するな

332: 2015/09/11(金)11:24 ID:??? AAS
>>327
その通りです。すみません、先に>>322にレスしていました。

333: 2015/09/11(金)11:24 ID:??? AAS
>>327
丁寧に、ありがとうございます。

334(3): 2015/09/11(金)11:28 ID:??? AAS
>>331
やはりあったんだ。
せっかくしっかり作りこんでいても、土台でセキュリティーホールがあったら、
どうしようもないな。

今、一つ気になっているのは、クエリストリングの処理。
間違えて、URLとクエリストリングの文字列に、さらにクエリストリングを連結させてしまったら、
ランタイムエラーが出ずに、「,」が復元先のテキストボックスに表示されてしまったよ。
（同名のクエリストリングが重なった状態になったのだと思う。）

クエリストリングも公開WEBアプリには使わないほうがいいと思った。

上下前次 1-新書関写板覧索設栞歴

あと 472 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.008s