[FIX] 埋め込まれた Null 文字により、スクリプト要求の検証がスキップされる

文書翻訳 文書翻訳
文書番号: 821349 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

現象

URL の一部の位置に埋め込まれた NULL 文字がタグとして検出されず、スクリプト要求の検証機能がスキップされることがあります。

原因

解析中に、ASPNET スクリプトのタグ検出メカニズムが、文字または感嘆符 ( ! ) が後に続く山かっこ ("<") を検索することが原因でこの問題が発生します。タグ検出メカニズムが、NULL 文字が後に続く山かっこを検出すると、スクリプトは、山かっこをタグと見なしません。

この問題を再現するには、以下の手順を実行します。
  1. 簡単な Web ページを作成して、そのページに echo.aspx という名前を付けます。
  2. echo.aspx に次のコードを追加します。
    <%
    Response.Write(Request.QueryString("stringtext"))
    %>
  3. 開いた後に、山かっこの後に NULL 文字が続くようにして、ページを要求します。たとえば、次の URL に移動します。
    http://localhost/echo.aspx?stringtext=<%00script>alert('Hello');</script>
    この要求はスクリプトまたはアクティブ コンテンツとして扱われます。期待される結果は、要求の検証エラーまたはアクティブでないコンテンツとなることです。

解決方法

修正プログラムの入手方法

この問題は、ASP.NET 修正プログラム パッケージ 1.1 (2003 年 6 月) で修正されています。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
821156 INFO: ASP.NET 1.1 June 2003 Hotfix Rollup Package
821156 [INFO] ASP.NET 1.1 修正プログラム ロールアップ パッケージ (2003 年 6 月)
この修正プログラムを個別に入手することはできません。ロールアップをインストールする必要があります。

: この修正プログラムを要求した場合は、ロールアップが送付されます。 修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
	             日付            時刻    バージョン      サイズ       ファイル名
		   -----------------------------------------------------------------------
		   07-Jun-2003  00:44  1.1.4322.910    253,952  Aspnet_isapi.dll
		   07-Jun-2003  00:44  1.1.4322.910     20,480  Aspnet_regiis.exe
		   07-Jun-2003  00:44  1.1.4322.910     32,768  Aspnet_wp.exe
		   15-May-2003  23:49                   33,522  Installpersistsqlstate.sql
		   15-May-2003  23:49                   34,150  Installsqlstate.sql
		   07-Jun-2003  12:52  1.1.4322.910  1,216,512  System.dll
		   07-Jun-2003  00:39                   14,472  Webuivalidation.js
		   07-Jun-2003  12:52  1.1.4322.910  1,249,280  System.Web.dll

状況

マイクロソフトでは、この問題をこの資料の冒頭に記載したマイクロソフト製品の問題として認識しています。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 821349 (最終更新日 2003-11-13) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。

プロパティ

文書番号: 821349 - 最終更新日: 2014年2月27日 - リビジョン: 2.2
この資料は以下の製品について記述したものです。
  • Microsoft Visual Studio .NET 2003 Enterprise Architect
  • Microsoft Visual Studio .NET 2003 Enterprise Developer
  • Microsoft Visual Studio .NET 2003 Professional Edition
  • Microsoft ASP.NET 1.1
キーワード:?
kbnosurvey kbarchive kbnetframe100presp3fix kbfix kbhttp kbqfe kbbug KB821349
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com