確認する方法 Visual InterDev で生成されたコード CSSI の脆弱性

文書翻訳 文書翻訳
文書番号: 253120 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

概要

次の資料では、識別するための方法および CSSI (クロスサイト スクリプティングのセキュリティ問題) を受けやすいいる正しいの Visual InterDev アプリケーションについて説明します。 正しくない検証またはフォーマットのみ入力アプリケーションさらすことになりますを攻撃します。

この資料では、Visual InterDev のデザイン時コントロール (DTC) と、スクリプト ライブラリについて説明します。 ASP コードに関する一般的なガイドラインは、次の「サポート技術情報」(Knowledge Base) 資料を参照してください。
253119CSSI の脆弱性の ASP コードを確認する方法

詳細

Visual InterDev デザインタイム コントロールはコードの一部が自動的に生成するため開発者に固有の課題を表示します。 開発者が生成されるスクリプト オブジェクトの特定の実装や最適な対処方法の脆弱性に精通してできません。 この資料では、さまざまなデザインタイム コントロール、既知の問題をそれらの脆弱性に対処可能なオプションについても説明。

問題は 2 つの特定カテゴリに分かれます。
  1. スクリプト、データベースおよびデータベースからデータを表示するデザインタイム コントロールはユーザーからの入力を格納します。
  2. デザインタイム コントロールが表示するスクリプトをや使用データがクライアントから送信されたのです。
どちらの場合も、適切な検証と出力値のエンコード、DTC ベース ページがように CSSI 攻撃で使用されています。

情報を取得する DTC の任意のメソッドを使用する場合その DTC (.getCaption、.getText、.Value) などから提供されるユーザー情報] を使用して値を設定した結果文字列が HTMLEncoded。 また、データベースのフィールドにバインドできるいくつかの DTC データベースから生情報にエンコードせず表示されます。 したがって、ください HTMLEncode これらの値をブラウザーに表示するとき。 例:
Response.Write Server.HTMLEncode(Textbox1.value)
				
URLEncode を代わりに使用する、データ、URL の一部として使用する場合。 例:
Response.Write "<A HREF=http://webserver/webapplication/page.asp?data=" & Server.URLEncode(Textbox1.value) & ">Click here!</A>"
				
文字、ページ、ブラウザーのレンダリングのセットを設定する方法が複数ある entrusted のスクリプト コード文字をエンコードする、ため、明示的に必要があります。 これを行う文書の <head> タグ タグの間でクライアント側の <meta> タグを挿入します。 たとえば。
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset= ISO-LATIN-1">
				
もこれは ASP から Response.Charset プロパティを使用します。

<% Response.Charset= "ISO-LATIN-1" %>
				


一般的な例をいくつか示します。

元に戻す全体を表示する
表示します。サンプル コード
DTC のボタンの値
Response.Write Button1.Value()
チェック ボックス (CheckBox) DTC のキャプション
Response.Write CheckBox1.getCaption()
DTC ラベルのキャプション
Response.Write Label1.getCaption()
テキスト、リスト ボックス (ListBox) コントロールの DTC の
Response.Write Listbox1.getText()
オプション グループの DTC の値
Response.Write OptionGroup1.getValue()
値をテキスト ボックス (TextBox) コントロールの DTC の
Response.Write Textbox1.Value()


これらの例の解決策は次のとおりです。

元に戻す全体を表示する
表示します。サンプル コード
DTC のボタンの値
Response.Write Server.HTMLEncode(Button1.Value())
チェック ボックス (CheckBox) DTC のキャプション
Response.Write Server.HTMLEncode(CheckBox1.getCaption())
DTC ラベルのキャプション
Response.Write Server.HTMLEncode(Label1.getCaption())
テキスト、リスト ボックス (ListBox) コントロールの DTC の
Response.Write Server.HTMLEncode(Listbox1.getText())
オプション グループの DTC の値
Response.Write Server.HTMLEncode(OptionGroup1.getValue())
値をテキスト ボックス (TextBox) コントロールの DTC の
Response.Write Server.HTMLEncode(Textbox1.Value())


Grid DTC は、データベースから取得した HTMLEncode 値されません。 ある場合は、データベースは、ユーザー入力 (たとえば、ゲストブック) を受け取り、HTMLEncode、出力してください。 これを行う] をクリックして、 データ ] タブの [グリッド のプロパティ] ダイアログ ボックスでを入力して:
=Server.HTMLEncode([fieldname])
				
'(フィールド名)' はその列に表示される各フィールドの名前を場所です。 ほとんどのデザインタイム コントロールに自動的に HTMLEncode データ データベースから取得を表示するときに、いないものがあります。 これらのコントロールにように、クライアントへの出力が正しく HTMLEncoded ことを確認するには追加のコードの使用します。

注: デザインタイム コントロールは、通常は自動的にサーバーへのラウンド トリップ中に、状態を維持する必要なロジックを実装します。 テキスト ボックスの DTC の場合たとえば、情報が正しく、Textbox.asp スクリプト ライブラリのページ、サーバーへのトリップ ラウンド HTMLEncodes、テキストの内容ボックス コントロールの状態を維持するプロセスのです。

関連情報

詳細については、次のアドバイザリから、コンピューター緊急対応チーム (CERT) Carnegie Mellon 大学参照してください。
http://www.cert.org/advisories/CA-2000-02.html
次の「サポート技術情報」(Knowledge Base) 資料詳細についてはを参照してください。
252985Web アプリケーションのクロスサイト スクリプティングのセキュリティの問題を防止する方法
253119CSSI の脆弱性の ASP コードを確認する方法
253121CSSI の脆弱性の MTS と ASP コードを確認する方法
253117Internet Explorer および Outlook Express のクロスサイト スクリプト問題の予防策

プロパティ

文書番号: 253120 - 最終更新日: 2014年2月8日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Visual InterDev 6.0 Standard Edition
キーワード:?
kbnosurvey kbarchive kbhowto kbcssi kbsecvulnerability kbsecurity kbctrl kbmt KB253120 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:253120
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com