وب، ASP.NET، حمله های XSS و کتابخانه Anti-XSS

xss-threat3

یکی از رایج ترین حملات وب Cross Site Scripting هستند، کاراکتر X بیانگر Cross بوده و SS هم که مخفف Site Scripting است. حملات XSS عمدتا توسط کدهای JavaScript انجام می شوند و از طریق بخش های ورودی و یا خروجی تزریق می شوند.

ابتدایی ترین روش مقابله با XSS مقابله با Dangerous characters یا کاراکترهای خطرناک است، کاراکترهایی که مقدمه ورود کدهای ویژه ی حمله هستند یعنی این ها:
> < ( ) [ ] ‘ "  ;  : / |
این کاراکترهای ملعون Devilباید به تگ های HTML ی تبدیل شوند تا قابلیت اجراییشون رو از دست بدن به طور مثال < به gt& تبدیل شه. ابتدایی ترین شکل مبارزه با این نوع حمله در ASP.NET با دو عمل زیر شروع میشه:

1: تنظیم validateRequest="true" در Directive صفحه (تگ Page@>).
2: استفاده از توابع زیر جهت کد کردن مبادی حمله:

»  HtmlEncode
»  HtmlAttributeEncode
»  JavaScriptEncode
»  UrlEncode
»  VisualBasicScriptEncode
»  XmlEncode
»  XmlAttributeEncode

تا اینجا مبادی Input یا ورودی رو کد کردیم، خروجی ها مونده که باید با کتابخونه مایکروسافت به نام Microsoft Anti-Cross Site Scripting Library  که به اختصار Anti-XSS نامیده می شود و یا ابزارهای دیگه ای که توسط افراد یا شرکت های دیگه تولید شده اند کد شوند.

همه این ها رو گفتم تا بگم نسخه نهایی ورژن 3.0 آماده دانلود و استفاده شد.

لینک دانلود

در ضمن در دوره کاربردی وب در سطوح مختلف با انواع روش های حمله و روش های ضدحمله آشنا خواهیم شد…

پینوشت: به یاری خداوند، به زودی دومین دوره مقدماتی رو آغاز خواهم کرد…

۲ دیدگاه دربارهٔ «وب، ASP.NET، حمله های XSS و کتابخانه Anti-XSS;

  1. سلام استاد طاعات و عباداتون قبول . استاد میخواستم بدونم چجوری میشه chache رو برنامه Asp پاک کرد که کاربر نتونه با کلید back برگرده

    پاسخ

پاسخ دادن به بهروز اهلی لغو پاسخ