【質問】ASP.NETスレ Part7【雑談】 (806レス)
【質問】ASP.NETスレ Part7【雑談】 http://medaka.5ch.net/test/read.cgi/php/1343282128/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
316: nobodyさん [sage] 2015/09/11(金) 09:05:52.66 ID:??? >>313 >入力した文字列を、表示しようとしただけで攻撃が成功する可能性 そんな文字列あるんか? http://medaka.5ch.net/test/read.cgi/php/1343282128/316
317: nobodyさん [sage] 2015/09/11(金) 10:47:18.05 ID:??? HTMLENCODEでほぼ解決! あとは、致命的なバグだろうな。 if (inputvalue == "reset") { Reboot; } こういうバックドアを書いていたら、入力される文字列で攻撃が完成する。 http://medaka.5ch.net/test/read.cgi/php/1343282128/317
318: nobodyさん [sage] 2015/09/11(金) 10:54:48.55 ID:??? >>304>>314 レスいただきありがとうございます。 アセンブリを参照するための方法として、二つあるってこと? 1、dllファイルのみを、参照する側のプロジェクトにコピー 2、プロジェクトフォルダごと、参照する側のプロジェクトから参照する設定を加える 考えられたこととして、 2、の場合だと、被参照プロジェクトでバージョンアップしたとき、 参照側のプロジェクトに影響する。 もちろん、良い意味と、悪い意味と、両方。 1、の場合だと、 被参照プロジェクト側がどう変更されようが、参照側のプロジェクトには一切の影響がない。 なぜ、>>314さんは、2の方法を推薦するのか、知りたいです。 http://medaka.5ch.net/test/read.cgi/php/1343282128/318
319: nobodyさん [sage] 2015/09/11(金) 10:57:12.83 ID:??? >>317 それは入力した文字列を実行するんじゃ無いだろ。単におバカプログラマーだ http://medaka.5ch.net/test/read.cgi/php/1343282128/319
320: nobodyさん [sage] 2015/09/11(金) 10:58:01.51 ID:??? >>316 何も考えずにそのまま全部表示しようとしたら スクリプトインジェクション系の攻撃は全部成功だろ http://medaka.5ch.net/test/read.cgi/php/1343282128/320
321: nobodyさん [sage] 2015/09/11(金) 10:59:45.11 ID:??? >>318 .csprojファイル編集したら好きなように出来るだろ。どうでもいい変な事を悩むなよ http://medaka.5ch.net/test/read.cgi/php/1343282128/321
322: nobodyさん [sage] 2015/09/11(金) 11:00:20.66 ID:??? >>315 すみません、わかりました。 >>314>dll側もデバッグしたいんだろ? そういうことです。 http://medaka.5ch.net/test/read.cgi/php/1343282128/322
323: nobodyさん [sage] 2015/09/11(金) 11:01:42.41 ID:??? >>320 表示って、textboxに入力されたら内容をそのままtextboxに表示するだけだぞ。 それで攻撃が完了するのか? http://medaka.5ch.net/test/read.cgi/php/1343282128/323
324: nobodyさん [sage] 2015/09/11(金) 11:02:42.82 ID:??? >>321 GUI操作にとらわれずに、自分で、アセンブリ参照を書き換えなさいってことでしょうか。 http://medaka.5ch.net/test/read.cgi/php/1343282128/324
325: nobodyさん [sage] 2015/09/11(金) 11:06:14.13 ID:??? >>324 書き換えたければそう言う方法もあるっていうだけで、勧めている訳ではないが、設定の多くはcsprojファイルに書かれて居るので、手っ取り早い方法はcsprojの編集だとおもう。 http://medaka.5ch.net/test/read.cgi/php/1343282128/325
326: nobodyさん [sage] 2015/09/11(金) 11:08:44.80 ID:??? >>319 入力された文字が実行されたり、(インジェクションとか、xss) 入力された文字が「意図された」コードの実行を起こしたり、(>>317) あくまでコードが正しく実行されて、攻撃が完成する場合は納得できます。 しかし、.net側のセキュリティーホールで、意図しないところで攻撃が実現されてしまうことはあるんでしょうかね。 いままで、フレームワーク上の欠陥で、セキュリティーホールが生じたことってあったのかなあ。 そうでなければ、あとはプログラマの技量だけで、どうにでもなりますよね。 WEBを全世界に公開するのもためらいませんが、,net事態の欠陥で、危ぶまれるのなら、躊躇するなあ。 http://medaka.5ch.net/test/read.cgi/php/1343282128/326
327: nobodyさん [sage] 2015/09/11(金) 11:09:15.51 ID:??? >>318 そこに書いてあるけど、dll側もデバッグしたいんだろ? その参照されるdllってのは、元プロジェクトから切り出した部分じゃないのか? つまり自分で変更するし、変更が反映されないと困るんじゃないのか? そのdll(のソース)に手を入れない前提なら好きにすればいい http://medaka.5ch.net/test/read.cgi/php/1343282128/327
328: nobodyさん [sage] 2015/09/11(金) 11:18:24.45 ID:??? >>323 Textbox.Textはたしか勝手にエンコードするから大丈夫 でも全ての表示できる内容がエンコードされるわけじゃない たしかLabel.Textは生HTMLで出力する 適切にエンコードした出力すれば大丈夫なんだが、それが難しい せめて危険かどうかの判断ができるようになるまで、保険的にバリデート外すなって言ってる まあ、あれ、SQL系のインジェクションにはほとんど無力なんだがな http://medaka.5ch.net/test/read.cgi/php/1343282128/328
329: nobodyさん [sage] 2015/09/11(金) 11:21:14.53 ID:??? >>328 >SQL系のインジェクション この対策は、parameterオブジェクトのaddメソッドで、parameterを追加する方法で、 回避可能だと聞いたことがあります。もちろん、ストアドプロシジャでしか使えないけど。 http://medaka.5ch.net/test/read.cgi/php/1343282128/329
330: nobodyさん [sage] 2015/09/11(金) 11:23:10.39 ID:??? >>328 Labelも含めて、ブラウザに出力するコントロールのすべてにおいて、 デフォで、htmlEcodeをかけておいてほしかったな。 必要なら、意識して自分で外せるようにしておいてもらったほうが良かった。 http://medaka.5ch.net/test/read.cgi/php/1343282128/330
331: nobodyさん [sage] 2015/09/11(金) 11:23:57.25 ID:??? >>326 >net側のセキュリティーホールで、意図しないところで攻撃が実現されてしまうことはあるんでしょうかね。 可能性としては当然ある >フレームワーク上の欠陥で、セキュリティーホールが生じたことってあったのかなあ。 いくらでもある 何のためにマイクロソフトがいっぱいアップデートパッチ出してると思ってるんだ 少なくともお前や俺がミスってセキュリティホール作る方が フレームワークの欠陥で穴が見つかるよりよっぽど可能性が高いから心配するな http://medaka.5ch.net/test/read.cgi/php/1343282128/331
332: nobodyさん [sage] 2015/09/11(金) 11:24:00.12 ID:??? >>327 その通りです。すみません、先に>>322にレスしていました。 http://medaka.5ch.net/test/read.cgi/php/1343282128/332
333: nobodyさん [sage] 2015/09/11(金) 11:24:35.61 ID:??? >>327 丁寧に、ありがとうございます。 http://medaka.5ch.net/test/read.cgi/php/1343282128/333
334: nobodyさん [sage] 2015/09/11(金) 11:28:27.71 ID:??? >>331 やはりあったんだ。 せっかくしっかり作りこんでいても、土台でセキュリティーホールがあったら、 どうしようもないな。 今、一つ気になっているのは、クエリストリングの処理。 間違えて、URLとクエリストリングの文字列に、さらにクエリストリングを連結させてしまったら、 ランタイムエラーが出ずに、「,」が復元先のテキストボックスに表示されてしまったよ。 (同名のクエリストリングが重なった状態になったのだと思う。) クエリストリングも公開WEBアプリには使わないほうがいいと思った。 http://medaka.5ch.net/test/read.cgi/php/1343282128/334
335: nobodyさん [sage] 2015/09/11(金) 11:29:37.54 ID:??? >>329 ストアドじゃなくてもパラメタは使える まあ、SQLインジェクションに対してはパラメタ使えってのは鉄則 なんだが、ついつい動的にSQL書いちまうんだよなぁ http://medaka.5ch.net/test/read.cgi/php/1343282128/335
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 471 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
1.469s*