星期五, 10月 19, 2012

在ASP.Net防止 SQL Injection和參數篡改

看到保哥貼了 Hacking is child's play ,就算有參數化SQL指令,但使用者輸入資料(例如討論區等)還是很難防,所以小小做個筆記。

今年的MSDN Magazine有一篇保護 ASP.NET 應用程式的安全,裡頭就提到AntiXSS,其實AntiXSS是Microsoft Web Protection Library的一部份。

原本AntiXSS包含了Sanitizer 物件,在4.x後分成兩個DLL,但是目前微軟網站的Microsoft Anti-Cross Site Scripting Library V4.2並未包含Sanitizer 進去,因此必須自己下載Source Code編譯。

我編好後,把HtmlSanitizationLibrary.dll 加到專案,就有Sanitizer可用;另一方面編譯出來的AntiXSSLibrary.dll 是4.1.0版,下載的AntiXSSLibrary.dll 是4.2.0版,所以我沿用官方版。

這樣一來,只要在 .cs 加上 using Microsoft.Security.Application; 就可以用 string cleanData = Sanitizer.GetSafeHtmlFragment(wysiwygData); 把一些script或編碼資料去除。

同時也可以在 web.conf裡的 <system.web>區塊加上
 <httpRuntime encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>
,改用較安全版本。
因為這個屬性只能出現一次,所以像我有加大Request的,就必須寫成一行
 <httpRuntime maxRequestLength="2097151" encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>

沒有留言: