インジェクション防止 のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• ソース を表示
• インジェクション防止 は削除されています。
  • 1 (2010-08-26 (木) 10:39:37)
  • 2 (2010-08-26 (木) 11:00:34)

---

Asp.Net?

サニタイジングする必要がある記号、文字列 †

[edit]

net user 
xp_cmdshell 
/add 
exec master.dbo.xp_cmdshell 
net localgroup   administrators 
select 
count 
Asc 
char 
mid 
' 
: 
" 
insert 
delete   from 
drop   table 
update 
truncate 
from 
% 

注意点 †

[edit]

　URLとTextBoxの入力（もちろんほかにクッキーなどの手段があります）からインジェクションができます、うちにURLに対するサニダイズなら、すべての危険コードを検査します、TextBox入力をサニタイジングする場合、正常の入力をサニタイジングしないように、記号のみをエンコードすれば、いいでしょう。

ほかの注意点：

• URLの長さを制限する
• インジェクション側のIPアドレスを記録、ブロックする
• 添付ファイルを格納するディレクトリなど書き込む必要がある処以外、すべてReadOnlyに設定する
• DbParameterクラスを利用して、SQLコマンドを作成する。（複数データベースのサポートに面倒）
• データのタイプ、長さを予想できるなら、型、データを検査を行います、文字列の場合、正規表現でチェックします。

まだ何かありましたら、コメントお願いします。

コメント：

お名前:

サンプル †

[edit]

JavaScriptサニタイズサンプル

<script   language= "javascript "> 
<!-- 
  var   url   =   location.search; 
  var   re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|
           asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ 
           "|:|net%20user|\ '|%20or%20)(.*)$/gi; 
  var   e   =   re.test(url); 
  if(e)   { 
    alert( "何をするつもりですか？"); 
    location.href= "error.asp "; 
  } 
//--> 
<script>

参考情報 †

[edit]

• 【SQLインジェクションからサイトを守ろう】
  http://www.gamersdb.net/ff11/securityguidance.htm

---

コメント：

お名前:

     

Site admin: anonymous

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.2.17. HTML convert time: 0.029 sec.