HOT TIP №1

Кодируйте ввод пользователя перед тем, как вывести его на страницу – или куда-нибудь ещё!

ЯЗЫК: C#
ВЕРСИИ ASP.NET: 1.0 | 1.1
АВТОР: Jeff Prosise, http://www.aspnetpro.com/
ПЕРЕВОД: hDrummer

Превратите «плохой» ввод пользователя в «хороший», чтобы предотвратить взлом вашего веб-сервера.

Перед вами простая ASP.NET веб-страница – одна из тех, что показывают персонифицированное приветствие, состоящее из «Привет» с последующим добавлением имени пользователя, ввеённое им же, в ответ на нажатие кнопки «Нажми меня». Несмотря на свою простоту, страница содержит потенциально фатальную «дырку», с помощью которой могут быть поставлены под угрузу cookie, ваш веб-сервер и даже другие компьютеры, находящиеся за вашим брандмауэром. Найдёти ли вы эту «дыру»?



Если вы подумали, что «дыра» касается строки, введённой пользователем, ваша мысль верна. Веб-страница никогда, НИ ПРИ КАКИХ УСЛОВИЯХ, не должна использовать необработанный пользовательский ввод. Почему? Потому что в этом случае страница становится восприимчивой к кросс-сайт скриптовым атакам (to cross-site scripting (XSS) attacks). Для демонстрации этого, запустите страницу и наберите следующий текст в поле ввода:


Нажмите кнопку «Нажми меня» и окно с сообщением появится в вашем браузере. Проблема? Когда вы нажали на кнопку, браузер интерпретировал ввод, как часть кода, которую необходимо выполнить. И если этот скрипт достаточно безвреден, то хакеры могут ввести далеко не такие безвредные скрипты. Даже написав такую простую страницу как эта, нельзя быть уверенным, что все посетители будут использовать её так, как вы задумали. (Заметьте, что если вы используете страницу с ASP.NET 1.1, ва надо будет добавить директиву <%@ Page ValidateRequest="false" %> вверху вашей страницы, чтобы увидеть окно с сообщением.)


Прим. переводчика: Честно говоря после этой поправки лично для меня ценность этого HotTip’a для меня значительно упала, но раз уж начал переводить, доведу дело до конца.


Решение проблемы довольно простое. Перед тем как отображать ввод пользователя на странице, используйте метод Server.HtmlEncode для HTML-кодирования этого ввода. Следующая страница функционально эквивалентна предыдущей, однако, благодаря HTML-кодированию, текст пользователя меняется пред выводом на страницу. Например, символы <> превращаются в < и > - что неприемлемо для XSS-атакующего.





Помните: пользовательский ввод является вредоносным по умолчанию и должен рассматриваться именно с этой точки зрения. Server.HtmlEncode превращает «плохой» пользовательский ввод в «хороший» и, может быть, спасёт ваш веб-сервер от взлома – или чего-нибудь похуже.

Вобщем, если эта идея понравилась, то буду стараться каждую пятницу выкладывать по HotTip'y. Если есть желающие присоединиться - you are welcome.

Вообще-то к концу перевода у меня сложилось мнение, что у автора статьи паранойя. Не потому, что статья такой направленности, а потому, что стиль изложения несколько параноидальный

м.б. тут скорее SQL code injection'a надо бояться, а не клиентских скриптов...

Да, действительно. Всё это безобидно до тех пор, пока не пишется в СУБД и не выводится где-то для других посетителей. Тот же алерт можно влепить в цикле с какой-нибудь нецензурщиной - и посещаемость сайта резко упадёт :(((

2tygra
это почему?
а если это действительно гостевая книга, которую просматривают все?

Вот потому я и сказал, что отдаёт паранойей. Видно автор боялся обвинения в пособничестве кибер-террористам.

Хотя надо сказать, что проверять введённый текст стало естественным совсем не давно. Да я думаю что ещё и не везде. Вот помнится пару лет назад чуть ли не в каждый чат зайдёшь, а там никаких проверок...

Весело было :)