Saturday, August 25, 2007

Microsoft'tan yeni Anti-XSS aracı - Microsoft Anti Cross Site Scripting Library v1.0

Microsoft .NET Framework 1.0, 1.1 ve 2.0 ile birlikte çalışan ve web tabanlı uygulamalarda çapraz site kod çalıştırma (cross site scripting - xss) tehditine karşı koruma sağlayan yeni bir Anti-XSS aracı çıkardı. Araç System.Web.HttpUtility.HtmlEncode kullanımındaki eksikleri (deny-list yaklaşımı) kapatıyor ve aşağıdaki şekilde kullanılabiliyor:
AntiXSSLibrary.HtmlEncode(string)
AntiXSSLibrary.URLEncode(string)

AntiXSSLibrary ile aşağıdaki karakterler haricinde tüm karakterler kodlanıyor:
a-z (küçük harf)
A-Z (büyük harf)
0-9 (nümerik değerler)
, (virgül)
. (nokta)
_ (alt çizgi)
- (eksi)
(boşluk)—URLEncode hariç


Araç aşağıdaki adresten indirilebilir:
http://www.microsoft.com/downloads/details.aspx?familyid=9a2b9c92-7ad9-496c-9a89-af08de2e5982&displaylang=en

Kaynak: http://blogs.msdn.com/dansellers/archive/2006/02/23/538187.aspx

No comments: