Web アプリケーションのセキュリティ強化: 脅威と対策: の修正とコメント

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

867600
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
ここにはコメント、修正、および Microsoft パターンとプラクティス本に関連した既知のエラーに関する情報が含まれています Web アプリケーション セキュリティ強化: 脅威とその対策、 邦訳 0-7356-1842年-9

本の Web のバージョンは、エラーが見つかるよう更新されます。 多くまたはすべてのエラーの下のなる既に MSDN の本の Web バージョンで修正があります。

次のトピックが含まれます。
  • ページ 273、第 10 章: ビルドのセキュリティで保護された ASP.NET ページとコントロール、セクション: データ連結コントロール、セクションの完了
  • ページ 441、第 16 章: セキュリティの Web サーバーを保護する] のセクション: NetBIOS および SMB を無効にします。
詳細
ページ 273、第 10 章: ビルドのセキュリティで保護された ASP.NET ページとコントロール、セクション: データ連結コントロール、セクションを完了する
http://msdn2.microsoft.com/en-us/library/aa302426.aspx

の変更:

データ バインド Web コントロールは出力をエンコード操作を行います。 出力をエンコードする唯一のコントロールは、その TextMode/"プロパティが複数行に設定されている、テキスト ボックス (TextBox) コントロール コントロールです。 悪質な XSS コードがデータに他のコントロールを連結する場合は、コードがクライアント上で実行されます。 結果として、データベースからデータを取得する場合を特定できませんデータが有効 (おそらくは他のアプリケーションと共有するデータベースとなって) をクライアントに渡す前に、データをエンコードします。

To:

データ連結コントロールは、パブリック継承を通じてデータ コンポーネントにバインドしている Web コントロール ‘ データソース Don プロパティ。 いくつかを説明する、非常に多くの場合に使用するデータ グリッド、リスト ボックス (ListBox) コントロールおよび DropDownList 表示されます。 連結コントロール データを表示するときのエンコーディングを実行するすべてのデータ連結データ コンポーネントをから取得であり、したがって、XSS 攻撃を防ぐためにためにデータの信頼関係のないコンポーネントにエンコードを実行する責任がなければは。 たとえば、シナリオでは、1 つのデータベースが別のアプリケーションを共有データ コンポーネントが信頼されることはできません。 攻撃者が悪質な XSS コードを (たとえば、アプリケーションでは、いずれかの脆弱性を abusing) をデータベースに挿入する機能かどうかエンコード以外に、バインドされている Web コントロールを使用するすべてのアプリケーションが脆弱になります。 のみをできる場合が、データ コンポーネントからの出力は常に有効な特定のエンコードしないでください。

エンコードを実行しないデータ バインド コントロールの例として DataGrid、DataList、RadioButtonList CheckBoxList はあります。 データのエンコード方法を実行する連結コントロールによって異なりますそれぞれ特定のコントロール。 たとえば、DataGrid コントロールを次のオプションがあります。
  • テンプレートにすべての列を有効にし、手動で DataBinder.Eval を呼び出しごとに HtmlEncode()/UrlEncode() を使用
  • OnDatabinding または OnItemDataBound などののデータバインド メソッドでは、いずれかをオーバーライドし、アイテムにエンコードを実行します。 例を次に示しますかによって、アイテムをエンコードするために、データ グリッド コントロールの OnItemDataBound メソッドをオーバーライドする方法 HtmlEncode() または UrlEncode() が必要なときに使用します。

...[DefaultProperty("Text"),  ToolboxData("<{0}:DataGrid runat=server></{0}:DataGrid>")] public class DataGrid : System.Web.UI.WebControls.DataGrid{    /// <summary>    /// The ItemDataBound event is raised after an item is data bound to the DataGrid    /// control. This event provides you with the last opportunity to access the data    /// item before it is displayed on the client. After this event is raised, the data    /// item is nulled out and no longer available. - .NET Framework Class Library    /// </summary>    /// <param name="e"></param>    protected override void OnItemDataBound(DataGridItemEventArgs e)    {      base.OnItemDataBound (e);       switch (e.Item.ItemType)      {        case ListItemType.Item:        case ListItemType.AlternatingItem:        case ListItemType.EditItem:        case ListItemType.SelectedItem:        case ListItemType.Footer:        case ListItemType.Header:        case ListItemType.Pager:            // even though not all of these ListItemTypes are data bound,          // perform HtmlEncode or UrlEncode on each control. If there are          // no controls, we perform HtmlEncode on any available text.          // Also, don't let &nbsp;'s be encoded.          TableCellCollection cCells = e.Item.Cells;          foreach (TableCell tc in cCells)          {            if (tc.Controls.Count > 0)            {              foreach (Control ctrl in tc.Controls)              {                                // don't perform HtmlEncode on URL's                if (ctrl is HyperLink)                {                  HyperLink hLnk = (HyperLink)ctrl;                   if (hLnk.Text.Length > 0)                    hLnk.Text = HttpUtility.HtmlEncode(hLnk.Text);                  if (hLnk.NavigateUrl.Length > 0)                    hLnk.NavigateUrl = HttpUtility.UrlEncode(hLnk.NavigateUrl);                }                else if (ctrl is LinkButton)                {                  LinkButton lButton = (LinkButton)ctrl;                   if (lButton.Text.Length > 0)                    lButton.Text = HttpUtility.HtmlEncode(lButton.Text);                }                else if (ctrl is Button)                {                  Button cButton = (Button)ctrl;                   if (cButton.Text.Length > 0)                    cButton.Text = HttpUtility.HtmlEncode(cButton.Text);                }              }            }             else             {                            // there are no controls in the table cell              // HTMLEncode any available text              if (tc.Text.Length > 0)               {                if ("&nbsp;" != tc.Text)                   tc.Text = HttpUtility.HtmlEncode(tc.Text);              }            }          }          break;                default:          break;      }     }   }...

ページ 441、第 16 章: Web サーバーをセキュリティ保護するのセクション: NetBIOS および SMB を無効にする
http://msdn2.microsoft.com/en-us/library/aa302432.aspx

次のメモが追加されます:

注: 運用環境にそれらを実装する前に変更をテストします。 共有の無効化または NetBIOS 悪影響シナリオでは、管理性を与えることができます。 たとえば、IIS で NetBIOS に依存する、NetUserChangePassword API を使用します。 IIS 経由でパスワードを変更するユーザーを許可する場合は、これは動作しなく。

0-7356-1842年-9 0735618429 Web アプリケーションのセキュリティ

警告: この資料は、自動翻訳されています

プロパティ

文書番号:867600 - 最終更新日: 01/11/2015 06:17:48 - リビジョン: 1.4

  • MSPRESS Improving Web Application Security: Threats and Countermeasures, ISBN 0-7356-1842-9
  • kbnosurvey kbarchive kbdocfix kbdocerr kbmt KB867600 KbMtja
フィードバック