He estado leyendo en Anti-XSS Security Runtime Engine y parece una buena solución para formularios web porque inspecciona los controles por reflexión y codifica automáticamente los datos cuando corresponde. Sin embargo, como realmente no uso controles del lado del servidor en ASP.NET MVC, no parece ser una solución viable para ASP.NET MVC. ¿Es correcto o me falta algo?¿Debo usar Anti-XSS Security Runtime Engine en ASP.NET MVC?
Phil Haack tiene una publicación de blog interesante aquí http://haacked.com/archive/2009/02/07/take-charge-of-your-security.aspx. Sugiere usar Anti-XSS combinado con CAT.NET.
Leer este artículo reafirma bastante mi comprensión de la falta de controles del lado del servidor en ASP.NET MVC. "Con MVC, hemos intercambiado los controles del servidor con nuestros métodos de ayuda, que codifican correctamente la salida" – Blegger
[Enlace actualizado] (http://haacked.com/archive/2009/02/07/take-charge-of-your- security.aspx) a la entrada del blog de Haack. – patridge
Anti-XSS Security Runtime Engine es un módulo HTTP diseñado principalmente para actualizar aplicaciones heredadas de ASP.NET. Si ya ha escrito la aplicación ASP.NET MVC con una limpieza de datos adecuada con los asistentes HTML integrados (es decir, Html.Encode()), el motor Anti-XSS no agrega nada nuevo y requiere una configuración adicional (para el blanco necesario). listas) y comprobación de errores.
En general, no debe confiar en el motor Anti-XSS, especialmente si confía en el control explícito de cuándo la entrada es y no se procesa como HTML.
Tipo de - Soy dueño de AntiXss y el SRE y, aunque son parte del mismo proyecto, no son lo mismo. La codificación de AntiXSS difiere de los codificadores .NET en que utilizamos listas seguras, en lugar de listas inseguras para decidir qué caracteres deben convertirse en sus equivalentes hexadecimales y cuáles no. Esto tiene un costo de rendimiento, pero es intrínsecamente más seguro. Entonces, hay una ventaja al usar esas rutinas de codificación. El tiempo de ejecución de seguridad es una bestia diferente, es un firewall de aplicación simple que busca ataques comunes. Algunas partes son formularios web específicos, las piezas funcionan con ambos formularios web y MVC – blowdart
Interesante pregunta- tuvimos algunos consultores de seguridad delirando sobre esto el otro día en el trabajo. Me interesaría encontrar la adopción de la gente. – RichardOD