[.NET] .NET Framework XSS 基本防護

近期在處理一項白箱源碼掃描的Stored XSS風險,

Source code是使用ASP.NET Webform撰寫,

GridView直接透過SqlDataSource來取得資料,

風險內容是從table取出資料後放上Textbox上的這部分被掃出沒有針對值做處理,

可能有XSS的風險在:

不過經過將table內容放上alert語法實測後,發現並無問題:

1

Textbox控制項之資料並不會引發XSS問題(右側為GridView預設會針對資料所帶出的欄位),

實際在Chrome上檢視原始碼來看(點選右鍵→檢視網頁原始碼,會另開分頁而非開發者工具),

發現的確是被encode處理過(Textbox的value做了AttributeEncode):

2

原因是.NET Framework(此處使用4.5.2)在「部分」的控制項上有自動做encode的機制(.NET Framework 2.0 經實測也有此機制),

但像是Label控制項可就沒有此機制了:

345

至於哪些控制項會自動encode,

先前網路上的資料目前已失效,

可能在使用時尚需個別測試測試。

至於要做HtmlEncode除了如下常用的寫法外

6

在.NET Framework 4之後有提供了更簡便的寫法(這邊以Label為例):

7

發現有什麼不一樣嗎?

8

可以用一個半型的冒號(:)來做html encode,

實測後也發現的確有做了html encode,

9

此寫法也支援ASP.NET MVC 2 View的寫法。

回到了目前常用的Razor語法,

1011

預設都是會做encode處理的,

至於若真的有需要將Html內容直接印在View上,

則可以使用Raw的語法來達成。

12

最後,即便框架已經針對XSS做了諸多防範,

並不代表源碼檢測無意義也不代表web無XSS風險存在,

唯有詳細了解源碼檢測掃出的風險內涵以及框架防範機制並且做實測,

才能在處理風險時做出正確的判斷。

簡化申請、更新流程的免費網站憑證

現在這時代處處要求安全,網站若還是走 http:// 已經跟不上潮流了,但我們非得繳這些「安全稅」來維持門面嗎?假設網域的名稱解析、防火牆開 80 埠這些事都已準備好,以下我們就來看看最近的做法:

閱讀全文 簡化申請、更新流程的免費網站憑證

您的網路銀行應用程式有多安全?

撰文及整理:叡揚資訊資安事業處

數位化是現代銀行不可或缺的趨勢。幾乎每家銀行都提供網站和行動APP,民眾的接受度也越來越高。最近的一項PWC調查(註1)發現,46%的消費者使用網路銀行,這比之前2012年調查的只有27%大幅增加。

閱讀全文 您的網路銀行應用程式有多安全?

Arxan攜手叡揚 協助企業保護App安全

首家支援Kotlin保護 Threat Analytics功能

因應金融業數位轉型趨勢,叡揚資訊於日前舉辦「資安風險與金融科技大未來」高峰會。會中邀請BSI英國標準協會台灣分公司蒲樹盛總經理、API Management 專家Axway、App行動裝置防護領導品牌Arxan等經理人到場分享全球科技風險與資安趨勢、臺灣最新金融法規說明及因應策略。其中,Arxan在會中介紹支援Kotlin的Arxan for Android,內建全新Threat Analytics功能,主動掌握App安全健康狀況,吸引在場眾多金融及政府單位管理高層的關注。

「資安風險與金融科技大未來」高峰會吸引金融及政府單位資訊經理人前來共襄盛舉

閱讀全文 Arxan攜手叡揚 協助企業保護App安全

不要成為下一個EQUIFAX – 2017 十大OpenSource弱點

已經過去了一年。你的產品中是否還有這些漏洞?

 

在2017年,Open Source的漏洞對於應用程式的安全性來說,是最具威脅性的一年。尤其是在Equifax慘痛的教訓之後。Equifax事件,就像電影一樣,居然在Equifax團隊的眼皮底下,洩漏了超過1.45億筆個人資料,讓我們想回顧一下,過去這一年還有那些漏洞,來攻擊整個資訊產業?造成可憐的工程師非常頭痛,並用多個漫長的夜晚來進行軟體更新及漏洞修補。 閱讀全文 不要成為下一個EQUIFAX – 2017 十大OpenSource弱點