Quanto è affidabile la funzione di convalida delle richieste di ASP.NET?

Come tester di penetrazione ho riscontrato che "Convalida della richiesta" fallisce in un certo numero di situazioni. Gli sviluppatori tendono a credere che "Request Validation" == "magic" , e li protegge completamente da XSS, quando in realtà questo falso senso di sicurezza si traduce in problemi molto seri. Tutte le forme di XSS basato su DOM e Persistenza XSS ignorano "Convalida richiesta" e in altri casi non riesce:

Nel prossimo caso l'attaccante non ha bisogno di scrivere un tag HTML, semplicemente scrivendo un URI JavaScript un utente malintenzionato può eseguire JavaScript:

<a href="javascript:alert(1)">xss</a>
<iframe src="javascript:alert(1)" />

In questo caso, l'autore dell'attacco sta già scrivendo all'interno di un tag script:

<script>
  var x=alert(1);
</script>

Sì, la convalida della richiesta predefinita non è sufficiente per evitare XSS, ma molto dipende dai dettagli.

La convalida della richiesta predefinita filtra solo caratteri standard come < o%, ma a seconda di come si rendono i risultati, è ancora possibile creare qualcosa che verrà eseguito. Guarda i diversi vettori di attacco per XSS. Ci sono molte possibilità per fare XSS anche con set di caratteri ristretti.