Sto affrontando una vulnerabilità XSS nella mia applicazione Web ASP.Net in cui il codice dannoso potrebbe essere crittografato e codificato in html
Bottomline : Sto tentando di impedire XSS tramite l'offuscamento del codice.
Domanda : so già che devo usare comunque HtmlDecode. C'è un modo per decifrare e quindi Html decodificare tali dati in ASP.Net?
Prima : Base64 NON è un algoritmo di crittografia. È un meccanismo di codifica e cioè: chiunque può decodificare i tuoi dati codificati.
Secondariamente : se stai affrontando XSS nell'app ASP significa che non stai disinfettando correttamente un input influenzato dall'utente. Dovrai fornirci maggiori dettagli sulla parte di codice che è influenzata dall'utente, ma in generale. è necessario codificare tutti gli input in html. Cioè:
" ----> "
' ----> '
< ----> <
> ----> >
In ASP puoi semplicemente utilizzare Server.HTMLEncode(string) per codificare in HTML il tuo input influenzato dall'utente.
Ricorda XSS può anche essere attivato dall'input memorizzato, quindi dovrai disinfettare anche quelli!
L'offuscamento ti porterà solo lontano. Avrai persone che si arrenderanno perché è difficile, e ad alcuni piacerà la sfida. Il problema dell'offuscamento è che attirerai quest'ultimo, dal momento che stai attivamente cercando di impedire che ciò accada senza risolvere il problema.
Solo per essere veramente ansioso, non lo stai "prevenendo", lo stai rendendo più difficile. È come mettere la chiave di una porta sotto un tappetino invece di una pietra finta.
Leggi altre domande sui tag encryption xss