Web アプリケーションのセキュリティ強化: 脅威と対策: の修正とコメント

文書番号: 867600 - 対象製品
機械翻訳の免責機械翻訳版の免責を確認する
すべて展開する | すべて折りたたむ

概要

ここにはコメント、修正、および Microsoft パターンとプラクティス本に関連した既知のエラーに関する情報が含まれています Web アプリケーション セキュリティ強化: 脅威とその対策、 邦訳 0-7356-1842年-9

本の Web のバージョンは、エラーが見つかるよう更新されます。 多くまたはすべてのエラーの下のなる既に MSDN の本の Web バージョンで修正があります。

次のトピックが含まれます。
  • ページ 273、第 10 章: ビルドのセキュリティで保護された ASP.NET ページとコントロール、セクション: データ連結コントロール、セクションの完了
  • ページ 441、第 16 章: セキュリティの Web サーバーを保護する] のセクション: NetBIOS および SMB を無効にします。

詳細

ページ 273、第 10 章: ビルドのセキュリティで保護された ASP.NET ページとコントロール、セクション: データ連結コントロール、セクションを完了する
http://msdn2.microsoft.com/en-us/library/aa302426.aspx
(http://msdn2.microsoft.com/en-us/library/aa302426.aspx)


の変更:

データ バインド Web コントロールは出力をエンコード操作を行います。 出力をエンコードする唯一のコントロールは、その TextMode/"プロパティが複数行に設定されている、テキスト ボックス (TextBox) コントロール コントロールです。 悪質な XSS コードがデータに他のコントロールを連結する場合は、コードがクライアント上で実行されます。 結果として、データベースからデータを取得する場合を特定できませんデータが有効 (おそらくは他のアプリケーションと共有するデータベースとなって) をクライアントに渡す前に、データをエンコードします。

To:

データ連結コントロールは、パブリック継承を通じてデータ コンポーネントにバインドしている Web コントロール ‘ データソース Don プロパティ。 いくつかを説明する、非常に多くの場合に使用するデータ グリッド、リスト ボックス (ListBox) コントロールおよび DropDownList 表示されます。 連結コントロール データを表示するときのエンコーディングを実行するすべてのデータ連結データ コンポーネントをから取得であり、したがって、XSS 攻撃を防ぐためにためにデータの信頼関係のないコンポーネントにエンコードを実行する責任がなければは。 たとえば、シナリオでは、1 つのデータベースが別のアプリケーションを共有データ コンポーネントが信頼されることはできません。 攻撃者が悪質な XSS コードを (たとえば、アプリケーションでは、いずれかの脆弱性を abusing) をデータベースに挿入する機能かどうかエンコード以外に、バインドされている Web コントロールを使用するすべてのアプリケーションが脆弱になります。 のみをできる場合が、データ コンポーネントからの出力は常に有効な特定のエンコードしないでください。

エンコードを実行しないデータ バインド コントロールの例として DataGrid、DataList、RadioButtonList CheckBoxList はあります。 データのエンコード方法を実行する連結コントロールによって異なりますそれぞれ特定のコントロール。 たとえば、DataGrid コントロールを次のオプションがあります。
  • テンプレートにすべての列を有効にし、手動で DataBinder.Eval を呼び出しごとに HtmlEncode()/UrlEncode() を使用
  • OnDatabinding または OnItemDataBound などののデータバインド メソッドでは、いずれかをオーバーライドし、アイテムにエンコードを実行します。 例を次に示しますかによって、アイテムをエンコードするために、データ グリッド コントロールの OnItemDataBound メソッドをオーバーライドする方法 HtmlEncode() または UrlEncode() が必要なときに使用します。

...
[DefaultProperty("Text"),
  ToolboxData("<{0}:DataGrid runat=server></{0}:DataGrid>")]
 
public class DataGrid : System.Web.UI.WebControls.DataGrid
{
    /// <summary>
    /// The ItemDataBound event is raised after an item is data bound to the DataGrid
    /// control. This event provides you with the last opportunity to access the data
    /// item before it is displayed on the client. After this event is raised, the data
    /// item is nulled out and no longer available. - .NET Framework Class Library
    /// </summary>
    /// <param name="e"></param>
    protected override void OnItemDataBound(DataGridItemEventArgs e)
    {
      base.OnItemDataBound (e);
 
      switch (e.Item.ItemType)
      {
        case ListItemType.Item:
        case ListItemType.AlternatingItem:
        case ListItemType.EditItem:
        case ListItemType.SelectedItem:
        case ListItemType.Footer:
        case ListItemType.Header:
        case ListItemType.Pager:  
          // even though not all of these ListItemTypes are data bound,
          // perform HtmlEncode or UrlEncode on each control. If there are
          // no controls, we perform HtmlEncode on any available text.
          // Also, don't let &nbsp;'s be encoded.
          TableCellCollection cCells = e.Item.Cells;
          foreach (TableCell tc in cCells)
          {
            if (tc.Controls.Count > 0)
            {
              foreach (Control ctrl in tc.Controls)
              {
                
                // don't perform HtmlEncode on URL's
                if (ctrl is HyperLink)
                {
                  HyperLink hLnk = (HyperLink)ctrl;
 
                  if (hLnk.Text.Length > 0)
                    hLnk.Text = HttpUtility.HtmlEncode(hLnk.Text);
                  if (hLnk.NavigateUrl.Length > 0)
                    hLnk.NavigateUrl = HttpUtility.UrlEncode(hLnk.NavigateUrl);
                }
                else if (ctrl is LinkButton)
                {
                  LinkButton lButton = (LinkButton)ctrl;
 
                  if (lButton.Text.Length > 0)
                    lButton.Text = HttpUtility.HtmlEncode(lButton.Text);
                }
                else if (ctrl is Button)
                {
                  Button cButton = (Button)ctrl;
 
                  if (cButton.Text.Length > 0)
                    cButton.Text = HttpUtility.HtmlEncode(cButton.Text);
                }
              }
            } 
            else 
            {              
              // there are no controls in the table cell
              // HTMLEncode any available text
              if (tc.Text.Length > 0) 
              {
                if ("&nbsp;" != tc.Text) 
                  tc.Text = HttpUtility.HtmlEncode(tc.Text);
              }
            }
          }
          break;
        
        default:
          break;
      }
     }
   }
...

ページ 441、第 16 章: Web サーバーをセキュリティ保護するのセクション: NetBIOS および SMB を無効にする
http://msdn2.microsoft.com/en-us/library/aa302432.aspx
(http://msdn2.microsoft.com/en-us/library/aa302432.aspx)


次のメモが追加されます:

注: 運用環境にそれらを実装する前に変更をテストします。 共有の無効化または NetBIOS 悪影響シナリオでは、管理性を与えることができます。 たとえば、IIS で NetBIOS に依存する、NetUserChangePassword API を使用します。 IIS 経由でパスワードを変更するユーザーを許可する場合は、これは動作しなく。

プロパティ

文書番号: 867600 - 最終更新日: 2007年5月8日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • MSPRESS Improving Web Application Security: Threats and Countermeasures, ISBN 0-7356-1842-9
キーワード:?
kbdocfix kbdocerr kbmt KB867600 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:867600
(http://support.microsoft.com/kb/867600/en-us/ )
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る