XSS対策の実装方針 のバックアップ(No.7)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• XSS対策の実装方針 へ行く。
  • 1 (2017-06-22 (木) 14:52:02)
  • 2 (2017-06-22 (木) 14:52:52)
  • 3 (2018-01-16 (火) 16:18:28)
  • 4 (2020-01-30 (木) 21:25:00)
  • 5 (2020-02-03 (月) 20:00:15)
  • 6 (2020-07-02 (木) 18:23:24)
  • 7 (2020-10-04 (日) 16:26:59)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

ASP.NETでのXSS対策のサニタイジング方針について纏める。

対応方針の材料 †

一般的に、どのような対応方法があるか？

ASP.NET Web Forms †

要求の検証 †

要求の検証という機能があり、
クロスサイトスクリプティング（以下、XSSと略す）の
可能性のあるリクエストを識別し例外を発生させる機能がある。

• C# - ASP.NETのValidateRequest? - Qiita
  http://qiita.com/akoba/items/adc148ab753ad6960805

この機能を無効にするには以下の手順に従う。

Web.configで

<system.web>
　　<httpRuntime requestValidationMode="2.0" />
</system.web>

と指定し（Modeが4.0だと全ページで強制ONになる）、

個別のページで@Pageディレクティブを以下のように設定する必要がある。

<@ Page validateRequest="false" %>

ただし、無効にした場合は、独自の実装で
XSSを防止するためのサニタイジング処理を実装する必要がある。

コントロール †

• TextBox?コントロール
  ASP.NETでは最低限、TextBox?コントロールが既定でサニタイジング処理を行う。

• その他のコントロール
  しかし、Labelコントロール等は既定でサニタイジングされないので、
  TextBox?コントロールの入力をそのままLabelコントロール等に持って行くと、
  XSSが可能な脆弱性のあるWebアプリケーションが出来上がる。

ASP.NET MVC †

• ASP.NET MVCのセキュリティ対策とクライアントサイドスクリプト活用方法 (1/4)：CodeZine?（コードジン）
  http://codezine.jp/article/detail/4467

要求の検証 相当 †

MVCには、Web Formsの「要求の検証」相当の機能がないので、代替可能なValidateInput?属性を使用する。

コントロール 相当 †

• MVCには、Web Formsの「コントロール」相当の機能がないので、HTMLヘルパを使用する。
• HTMLヘルパには ≒ Web Formsの「コントロール」で、基本的にサニタイジング処理が実装されている。

対応方針の案 †

案件依存だが・・・。

ASP.NET Web Form? †

要求の検証 = ON の場合 †

要求の検証をONで、ランタイムエラー表示を回避したい場合、
HttpRequest?.FilterでPOSTのBodyをHTMLエンコードするなどの方式が考えられる。

• HttpRequest?.Filter プロパティ (System.Web)
  https://msdn.microsoft.com/ja-jp/library/system.web.httprequest.filter.aspx

Webメソッド（ASP.NET Web Services, WCF, ASP.NET Web API）のBodyを
エンコードしないように、HTTPメソッドやURLのファイル拡張子を判別すると良いと考える。

要求の検証 = OFF の場合 †

要求の検証をOFFにした際の仕様の組み方は、

基本的には、

• カスタムコントロールのカスタマイズでの対応か？

• ライブラリ等で都度変換を行うか？

になると考える。

ASP.NET MVC †

同様に、ValidateInput?属性か、HTMLヘルパを使用する。

要求の検証 = ON の場合 †

ValidateInput?属性をtrueに設定する。

[ValidateInput(true)]

要求の検証 = OFF の場合 †

• ValidateInput?属性がfalseの場合、

  [ValidateInput(false)]

• HTMLヘルパでサニタイジングする。

判断材料 †

こちらは、検出されたら基本的に対応する。

• 攻撃の成功が割と明らかなので、誤検知が少ない。
• 攻撃されると、CookieやSessionIDが漏洩するので、インターネット環境では対策必須。

攻撃対象 †

一般的に、足がつかない、

• 匿名アクセス可能なサイトか、
• フリーメールサービスのアドレスでサインアップ可能なサイト

が多いと考える。

攻撃者 †

• 上記のような匿名アクセスが可能なサイトの場合、誰でも攻撃可能。
• 会員制サイトの場合、そのサイトを利用可能な会員でしないと、攻撃方法を見い出せない。

攻撃方法・対策方法 †

セキュリティ強化のHTTPヘッダ †

参考 †

• クロスサイトスクリプティング - Wikipedia
  https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0

• 情報処理推進機構：情報セキュリティ：脆弱性関連情報の取扱い：
  知っていますか？脆弱性 (ぜいじゃくせい)／2. クロスサイト・スクリプティング
  https://www.ipa.go.jp/security/vuln/vuln_contents/xss.html

• クロスサイトスクリプティング（XSS）とは - 脅威と対策 | トレンドマイクロ
  http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/xss/index.html

---

Tags: :テスト

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.024 sec.