.NET 程式碼弱點分析

微軟提供了 Microsoft Code Analysis Tool .NET (CAT.NET) v1 CTP 工具程式,可掃 .NET 程式碼的 Cross Site Scripting 、SQL Injection、Process Command Injection、File Canonicalization、Exception Information、LDAP Injection、XPATH Injection、Redirection to User Controlled Site 等弱點。

簡單寫了一個有 Cross-site scripting 和 XPath Injection 弱點的範例網頁:http://cid-bf14192bd27975cb.skydrive.live.com/self.aspx/Source/NET/XPathInjectionCrossSiteScripting.zip

執行畫面如下,故意輸入會同時形成 XPath Injection 和 Cross Site Scripting 的語法 ‘ or ‘1’ = ‘1 <script>alert("Hello")</script>:

image

透過 CAT 掃描時,得到如下的結果

image

但就實際應用時,若專案稍大,它似乎就會當掉,無法掃描…

我猜,這也是它還在 CTP 的原因吧…

雖然感覺起來 XPath Injection 沒有很大的殺傷力。但,重點是要如何防範 XPath Injection 呢?不知大家是否有好的建議…

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

%d 位部落客按了讚: