Überprüfen von Visual InterDev generierten Code für die Sicherheitsanfälligkeit in CSSI

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 253120 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

Zusammenfassung

Im folgende Artikel beschreibt, wie zum Identifizieren und richtige Visual InterDev Anwendungen, die CSSI (Cross-Site Scripting Sicherheitsprobleme) anfällig sind. Nur Eingaben nicht richtig überprüft oder formatiert ist macht die Anwendung anfällig für Angriffe.

Dieser Artikel konzentriert sich auf Visual InterDev Design Time Controls (DTC) und die Skriptbibliothek. Allgemeine Richtlinien zur ASP-Code finden Sie im folgenden Knowledge Base-Artikel:
253119So überprüfen ASP-Code für die Sicherheitsanfälligkeit für CSSI

Weitere Informationen

Visual InterDev-DTCs Herausforderungen eindeutige für Entwickler, da der Code automatisch generiert wird. Ein Entwickler möglicherweise nicht mit der Implementierung der Skriptobjekte, die generiert werden und alle Sicherheitslücken werden oder wie Sie am besten begegnen vertraut. Dieser Artikel behandelt die bekannten Probleme mit verschiedenen DTCs und mögliche Optionen für die Adressierung diese Sicherheitsanfälligkeiten behandelt.

Die Probleme können in zwei spezielle Kategorien eingeteilt werden:
  1. DTCs, die Skript werden Daten aus einer Datenbank und der Datenbank anzeigen enthält Benutzereingaben.
  2. Entwurfszeit-Steuerelemente, die Skript sind zum Anzeigen oder verwenden Sie Daten, die vom Client gesendet wurde.
In beiden Fällen verhindert korrekte Überprüfung und Codierung des Ausgabewerte eine DTC-basierten Seite verwendet bei einem Angriff CSSI.

Bei Verwendung von beliebige-Methode des ein DTC, das Informationen abruft aus, dass DTC (wie z. B. .getCaption, .getText, .Value), wenn der Wert festgelegt wurde vom Benutzer angegebenen Informationen die resultierende Zeichenfolge ist nicht HTMLEncoded. Einige DTCs, die an ein Datenbankfeld gebunden werden können werden außerdem die unformatierte Informationen aus der Datenbank ohne Codierung angezeigt. Daher sollten Sie HTMLEncode diese Werte in einem Browser anzeigen. Zum Beispiel:
Response.Write Server.HTMLEncode(Textbox1.value)
				
ist die Daten, die als Teil einer URL verwendet werden, sollten Sie URLEncode stattdessen verwenden. Zum Beispiel:
Response.Write "<A HREF=http://webserver/webapplication/page.asp?data=" & Server.URLEncode(Textbox1.value) & ">Click here!</A>"
				
da mehrere Möglichkeiten zum entrusted scripting Code Zeichen zu codieren, sollten Sie explizit festlegen, den Zeichensatz für die Seite im Browser rendert. Hierzu können Sie ein clientseitiges <meta> Tag zwischen den Tags <head> Ihres Dokuments einfügen. Beispiel:
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset= ISO-LATIN-1">
				
auch dafür von ASP mithilfe der Response.Charset-Eigenschaft:

<% Response.Charset= "ISO-LATIN-1" %>
				


Nachfolgend einige gängige Beispiele:

Tabelle minimierenTabelle vergrößern
AnzeigenBeispielcode
Der Wert einer DTC-Schaltfläche
Response.Write Button1.Value()
Beschriftung für ein CheckBox-DTC
Response.Write CheckBox1.getCaption()
Beschriftung für ein Etikett DTC
Response.Write Label1.getCaption()
Text für ein Listenfeld-DTC
Response.Write Listbox1.getText()
Wert des OptionGroup-DTCS
Response.Write OptionGroup1.getValue()
Wert des Textfeld-DTCS
Response.Write Textbox1.Value()


Es folgen mögliche Lösungen für diese Beispiele:

Tabelle minimierenTabelle vergrößern
AnzeigenBeispielcode
Der Wert einer DTC-Schaltfläche
Response.Write Server.HTMLEncode(Button1.Value())
Beschriftung für ein CheckBox-DTC
Response.Write Server.HTMLEncode(CheckBox1.getCaption())
Beschriftung für ein Etikett DTC
Response.Write Server.HTMLEncode(Label1.getCaption())
Text für ein Listenfeld-DTC
Response.Write Server.HTMLEncode(Listbox1.getText())
Wert des OptionGroup-DTCS
Response.Write Server.HTMLEncode(OptionGroup1.getValue())
Wert des Textfeld-DTCS
Response.Write Server.HTMLEncode(Textbox1.Value())


Das Tabellen-DTC unterstützt nicht die HTMLEncode Werte aus einer Datenbank abgerufen. Wenn Ihre Datenbank Benutzereingaben (z. B. ein Gästebuch) dauert, sollten Sie HTMLEncode Ihre Ausgabe. Dies kann erreicht werden, indem Sie auf die der Registerkarte Daten im Dialogfeld Eigenschaft der Raster und eingeben:
=Server.HTMLEncode([fieldname])
				
, Feldname ist der Name jedes Feld, für die Spalte angezeigt wird. Die meisten DTCs automatisch HTMLEncode Daten aus einer Datenbank abgerufenen beim Anzeigen, einige jedoch nicht. Diese Steuerelemente sollten, verwenden Sie zusätzlichen Code, um sicherzustellen, dass Ausgabe an einen Client ordnungsgemäß HTMLEncoded ist.

Hinweis: DTCs implementieren normalerweise automatisch die notwendige Logik ihren Zustand bei Roundtrips zum Server zu verwalten. Im Fall von der DTC Textfeld Wenn die Informationen runden an den Server der Textbox.asp Bibliothek Skriptseite ordnungsgemäß ausgelöst wird Feld z. B. HTMLEncodes den Inhalt des Texts im Prozess der Verwaltung der Zustand des Steuerelements.

Informationsquellen

Weitere Informationen finden Sie die folgende Empfehlung aus dem Computer Emergency Response Team (CERT) an der Carnegie Mellon University:
http://www.cert.org/advisories/CA-2000-02.html
Finden Sie in folgenden Knowledge Base-Artikeln Weitere Informationen:
252985Gewusst wie: Verhindern von Cross-Site Scripting Sicherheitsprobleme für Webanwendungen
253119So überprüfen ASP-Code für die Sicherheitsanfälligkeit in CSSI
253121So überprüfen MTS-ASP-Code für die Sicherheitsanfälligkeit in CSSI
253117Verhindern von Sicherheitsproblemen durch Cross-Site Scripting in Internet Explorer und Outlook Express

Eigenschaften

Artikel-ID: 253120 - Geändert am: Dienstag, 4. Februar 2014 - Version: 1.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Visual InterDev 6.0 Standard Edition
Keywords: 
kbnosurvey kbarchive kbmt kbcssi kbctrl kbhowto kbsecurity kbsecvulnerability KB253120 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 253120
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com