Есть ли хорошие библиотеки кодирования безопасности для .NET?

Question

Читал о различных атаках инъекционного типа, и кажется, что лучший способ избавиться от этих уязвимостей - это закодировать весь пользовательский ввод, чтобы удалить / заменить некоторые символы другими (<>; и т. Д.).

Какая моя лучшая ставка здесь? Есть ли хорошие библиотеки, чтобы помочь мне с этим? Или что-то, что может помочь мне определить потенциальные уязвимости? - Или регулярные выражения - моя лучшая ставка? :)

Большое спасибо

Answer 1

Взгляните на библиотеку AntiXSS .

Answer 2

OWASP Антисамия и OWASP ESAPI .

Из них я бы проголосовал за ESAPI, поскольку я использовал Java-версию ESAPI для предотвращения атак XSS. Имейте в виду, что обычное HTML-кодирование данных не помешает XSS. Также важен контекст данных - вам придется избегать JavaScript, если вы его динамически генерируете и вставляете в ответ на сервере.

Answer 3

Server в экземплярах ASP.NET Page (доступных через Page, т.е. this) предлагает метод HtmlEncode(), который должен быть достаточным для предотвращения XSS-атак.

По умолчанию, без явного разрешения этого либо в web.config, либо с помощью директивы page, ASP.NET отклонит любой подозрительный ввод с ошибкой страницы.

Answer 4

Недавно я просматривал ESAPI.NET, и проект кажется неполным и, возможно, неактивным - особенно по сравнению с пакетом java.

Anti-XSS охватывает только подмножество области ESAPI и, действительно, ESAPI.NET использует AntiXSS (хотя и не последний) для кодирования.

Были бы полезны любые комментарии, свидетельствующие о полезности ESAPI.NET.

Answer 5

У вас есть 3 варианта выбора для защиты межсайтовых сценариев:

Я бы попробовал в таком порядке.

• Межсайтовый скриптинг в Microsoft Anti Библиотека
• Реформа OWASP
• OWASP ESAPI