Fortify и AntiXSS

Я являюсь членом исследовательской группы по безопасности Fortify и извиняюсь за путаницу, которую вам доставила эта проблема. Мы не очень хорошо постарались представить этот тип проблем. Я думаю, что отчасти проблема заключается в названии категории - мы не пытаемся сказать, что с механизмом проверки что-то не так, просто мы не можем сказать, является ли это подходящей проверкой для данной ситуации.

Другими словами, мы не знаем, какова правильная проверка для вашего конкретного контекста. По этой причине мы не признаем какие-либо функции кодирования HTML как стандартные для проверки XSS, даже те, которые есть в библиотеке Microsoft AntiXSS.

Что касается правильного решения, если вы используете HtmlEncode для вывода имени пользователя в тело HTML-страницы, ваш исходный код в порядке. Если закодированное имя пользователя используется в URL-адресе, оно может быть уязвимо для XSS. В Fortify, когда мы находим похожие проблемы в нашем собственном коде, если проверка соответствует контексту, мы отмечаем это как «Не проблема».

Нам известно о проблемах, связанных с этими проблемами, и мы постоянно изменяем наши правила, чтобы сделать их более точными и понятными. Мы выпускаем новые правила каждые три месяца и планируем внести несколько изменений в следующие выпуски. В четвертом квартале мы планируем разделить проблемы на неадекватную проверку (для кодирования в черном списке и других слабых схем проверки) и проверку с учетом контекста (тип проблемы, с которой вы сталкиваетесь). Пожалуйста, дайте нам знать, если мы сможем помочь.

(Ссылка на объяснение OWASP, почему кодирование HTML не решает всех проблем: http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#Why_Can.27t_I_Just_HTML_Entity_Encode_Untrusted)

fd_dev, я бы добавил, что вам не следует сосредотачиваться на сжатии своего кода, чтобы он уместился через обручи статического анализа. Если вы квалифицированы и уверены, что вывод неприменим, используйте инструменты Fortify GUI, чтобы записать комментарий и устранить проблему.

Если вы не уверены, сделайте небольшой снимок экрана и отправьте его по электронной почте в службу технической поддержки Fortify. Они хорошо подготовлены, чтобы посоветовать вам, как интерпретировать ваши результаты безопасности Fortify.

Blowdart на высоте. См. http://www.schneier.com/blog/archives/2008/05/random_number_b.html для наихудшего случая того, что может произойти, если вы будете преследовать результаты статического анализа, не понимая цели кода и причины / механизма обнаружения. (Одним словом, можно было сделать код хуже, а не лучше) -:

Мы нашли решение. Вы не поверите, но это заставляет Fortify360 принять код.

string sSafeVal = Regex.Replace(sValue, @"[\x00-\x1F\x7F]+", "");
Response.Write AntiXSS.HTMLEncode(sSafeVal);

Так что там, где не работает только AntiXSS.HTMLEncode, работает замена непечатаемых символов. Не обращайте внимания на тот факт, что HTMLEncode все равно это сделает. Я предполагаю, что они просто запускают Regex.Replace, и я полагаю, что любой шаблон будет работать.