- PR -

ASP.NETにおけるXSS、SQLインジェクション対策

投稿者投稿内容
末記人
大ベテラン
会議室デビュー日: 2005/12/05
投稿数: 233
お住まい・勤務地: あわにこ
投稿日時: 2006-02-08 17:16
コード:
Where句の値が画面から入力される事はありません。 


Where句以外のところでもインジェクション脆弱性は入り込めるのでは?

uk
ぬし
会議室デビュー日: 2003/05/20
投稿数: 1155
お住まい・勤務地: 東京都
投稿日時: 2006-02-08 17:36
引用:

囚人さんの書き込み (2006-02-08 17:15) より:
一体何の心配をなさっているのでしょうか。
画面から何かを入力される事はない、と断言なさっているのに、XSS や SQL インジェクションの心配をしているのでしょうか。


画面から「入力」としては存在しなくても、hiddenパラメータやリンクへのGETパラメータと
してならあるかもしれませんね。

もしDBアクセス部分を変更できないのであれば、入力/出力部分でのサニタイジングは可能
でしょうか。それからSQLインジェクションを防ぐための基本的な対策としては他に、
・接続用のアカウントに必要以上の権限を持たせない
・DBMSからのエラーメッセージを画面に出力しない
ことが挙げられます。なおこれはサニタイジングなどの対策と「一緒に」おこなうべきことで
これらを実施したからといってサニタイジングなどの対策が不要になるわけではありません。
お獅子
大ベテラン
会議室デビュー日: 2004/09/14
投稿数: 160
投稿日時: 2006-02-08 17:41
引用:

囚人さんの書き込み (2006-02-08 17:15) より:
「今の作りで何とかSQLインジェクションの対策を行いたく」というのは、コードを触らないって意味でしょうか。



多少の修正は構わないですが、SQL文の作りは今のままでやりたいです。

引用:

一体何の心配をなさっているのでしょうか。
画面から何かを入力される事はない、と断言なさっているのに、XSS や SQL インジェクションの心配をしているのでしょうか。



すみません。勘違いでした。画面から入力された値をWhere文に使用してました。

結局、今更ですが対策をしている事を証明しないと行けないのです。

で、間違ってたらすみません。

テキストボックスで入力された値をHtmlencodeを行えばSQLインジェクション対策になるのでしょうか?
お獅子
大ベテラン
会議室デビュー日: 2004/09/14
投稿数: 160
投稿日時: 2006-02-08 17:45
引用:

ukさんの書き込み (2006-02-08 17:36) より:
もしDBアクセス部分を変更できないのであれば、入力/出力部分でのサニタイジングは可能
でしょうか。



可能です。

引用:

それからSQLインジェクションを防ぐための基本的な対策としては他に、
・接続用のアカウントに必要以上の権限を持たせない
・DBMSからのエラーメッセージを画面に出力しない



参考になります。
お獅子
大ベテラン
会議室デビュー日: 2004/09/14
投稿数: 160
投稿日時: 2006-02-08 17:48
引用:

ukさんの書き込み (2006-02-08 17:36) より:
もしDBアクセス部分を変更できないのであれば、入力/出力部分でのサニタイジングは可能
でしょうか。



入力/出力部分でのサニタイジングする事によってXSSとSQLインジェクションの対策になると考えて良いのでしょうか。

囚人
ぬし
会議室デビュー日: 2005/08/13
投稿数: 1019
投稿日時: 2006-02-08 17:50
引用:

テキストボックスで入力された値をHtmlencodeを行えばSQLインジェクション対策になるのでしょうか?


ならないッス。

引用:

多少の修正は構わないですが、SQL文の作りは今のままでやりたいです。


作り方次第でしょうけどパラメタライズドクエリに修正する事はそんなに負担ではないと思うのですが、不可能ですか?

_________________
囚人のジレンマな日々
囚人
ぬし
会議室デビュー日: 2005/08/13
投稿数: 1019
投稿日時: 2006-02-08 17:52
引用:

テキストボックスで入力された値をHtmlencodeを行えばSQLインジェクション対策になるのでしょうか?


XSS 対策にはなるのかな。
_________________
囚人のジレンマな日々
お獅子
大ベテラン
会議室デビュー日: 2004/09/14
投稿数: 160
投稿日時: 2006-02-08 18:00
引用:

囚人さんの書き込み (2006-02-08 17:50) より:
作り方次第でしょうけどパラメタライズドクエリに修正する事はそんなに負担ではないと思うのですが、不可能ですか?



修正箇所が莫大に有るのと、ほとんどテスト完了してる状態なので、全て再テストとなると、時間が無いので無理です。

スキルアップ/キャリアアップ(JOB@IT)