我正在進行短期承包工作,試圖修補其遺留代碼中的一些漏洞。我正在處理的應用程序是經典ASP(VBScript)和.Net 2.0(C#)的組合。其中一個他們所購買的工具是Fortify的360有沒有人使用Fortify 360與經典ASP?標題操作漏洞報道
這裏是應用程序中的當前傳統的ASP頁面:
<%@ Language=VBScript %>
<%
Dim var
var = Request.QueryString("var")
' do stuff
Response.Redirect "nextpage.asp?var=" & var
%>
我知道,我知道,總之,非常危險。
所以我們寫了一些(EN/DE)編碼器和審定/覈查程序:
<%@ Language=VBScript %>
<%
Dim var
var = Decode(Request.QueryString("var"))
' do stuff
if isValid(var) then
Response.Redirect "nextpage.asp?var=" & Encode(var)
else
'throw error page
end if
%>
而且還Fortify的將其標記爲容易處理標頭來。 Fortify正在尋找什麼或者什麼?
我懷疑Fortify尋找特定關鍵字的原因是,在.Net方面,我可以包含Microsoft AntiXss程序集和調用函數,如GetSafeHtmlFragment
和UrlEncode
,Fortify很高興。
有什麼建議嗎?
注:由於Fortify的SCA 2.6.5的,傳統的ASP自定義規則不被支持。不過,這是你如何才能使它工作。 – 2011-01-01 12:48:07