Injection Attacks!

Navigando un po' in rete, mi sono reso conto che esistono svariate tipologie di attacchi basati su script injection.
Un tipica situazione a rischio consiste, ad esempio, nel far uso di un HtmlGenericControl, ricevere l'input di un utente e di utilizzare la proprieta' innerHml per mostrarlo all'interno di una pagina.

Qualche esempio:

http://trusted.org/search.aspx?param=
http://trusted.org/search.aspx?param=
http://trusted.org/COM2.IMG%20src= "Javascript:alert(document.domain)"

In questo caso, e' sufficiente stampare il valori in Querystring per andare incontro a grane. (questo dipende anche, ovviamente, dal valore della proprieta' validateRequest)
Questa tecnica e' abbastanza banale, ma ne esistono moltissime piu' o meno efficaci.
In giro per la rete si possono trovare svariati articoli che trattano un po' tutte le tipologie di attacco... l'importante e' prendere atto che queste cose esistono! (io personalmente, non vi ho mai prestato la dovuta attenzione)

Su MSDN e' presente un articolo, abbastanza recente, che tratta la validazione degli input con ASP.NET.

How To: Protect From Injection Attacks in ASP.NET

Una letturina non fa assolutamente male! ;-)

Nella stessa categoria

Commenti

Aggiungi un nuovo commento »»»
Per inserire un commento, devi registrarti alla nostra community.

© 1998-2008 - naighes - Il blog di Nicola Baldi
Feedback
nessun commento
Autore: Nicola Baldi
Data: giovedì 20 ottobre 2005 ore 13.25

Categorie: Generale
Tags: , ,

Stampa Stampa Download

TagCloud
.NET Framework, .NET Framework 2.0, .NET Framework 3.5, ASP.NET, ASP.NET 2.0, Database, HttpModule, HttpRuntime, MySQL, Security, Visual Basic
More blogs about aspitalia winfxitalia .NET Framework, .NET Framework 2.0, .NET Framework 3.5, ASP.NET, ASP.NET 2.0, Database, HttpModule, HttpRuntime, MySQL, Security, Visual Basic
BLOG INFO
  • Post: 9
  • Commenti: 6
  • TrackBacks: 1
  • Feed blog e contenuti tecnici: RSS
  • Feed blog: RSS Atom OPML
CATEGORIE
I PIÙ LETTI DEL MESE
IN EVIDENZA