Entwickler-Ecke

ASP.NET und Web - Zentrale Parameterüberprüfung


UGrohne - Do 11.12.08 16:47
Titel: Zentrale Parameterüberprüfung
Hallo,

ich arbeite gerade an einer großen ASP.NET-Anwendung, eine Art CMS. Natürlich sollte ich die Eingabeparameter übergeben, da aber mehrere Leute Erweiterungen dazu schreiben, möchte ich das zentral machen. Ich hab mir schon Gedanken darüber gemacht, das Ganze in der Global.asax zu machen udn in der Datenbank die erlaubten Parameter und deren Typ zu hinterlegen. Tanzt einer aus der Reihe wird der Request abgewiesen und gar nicht durchgereicht. Direkt etwas probiert habe ich dazu noch nicht, weil ich mir nicht sicher bin, ob der Ansatz überhaupt funktioniert.

Wie macht Ihr das in solchen Fällen, gibts da vielleicht schon was von Ratiopharm? ;)

Grüße,

Uwe


Kha - Fr 12.12.08 12:48
Ich bin mir nicht sicher, was eine zentrale Überprüfung für Vorteile haben soll. Könnte aber auch daran liegen, dass ich noch nie mit einem CMS gearbeitet habe :mrgreen: . Könntest du ein simples Beispiel für ein Plugin und seine Parameter nennen?
Oder geht es vor allem darum, dass selbst das schlechtest geschriebene Plugin gegen XSS immun gemacht werden soll?


UGrohne - Fr 12.12.08 12:55
user profile iconKha hat folgendes geschrieben Zum zitierten Posting springen:
Ich bin mir nicht sicher, was eine zentrale Überprüfung für Vorteile haben soll. Könnte aber auch daran liegen, dass ich noch nie mit einem CMS gearbeitet habe :mrgreen: . Könntest du ein simples Beispiel für ein Plugin und seine Parameter nennen?

Ein Forum z.B., ein Shop usw usf ;). Dort gibts dann entsprechend POST- und GET-Parameter, mit verschiedenen Typen z.B. Integer, HTML, Strings usw. Und genau darauf will ich prüfen.
user profile iconKha hat folgendes geschrieben Zum zitierten Posting springen:
Oder geht es vor allem darum, dass selbst das schlechtest geschriebene Plugin gegen XSS immun gemacht werden soll?

Yapp, die meisten werde ich schreiben, aber ich möchte mich vor eigenen Fehlern bewahren. Außerdem müsste ich dann jetzt überall noch die Überprüfung nachrüsten.


Kha - Fr 12.12.08 18:21
Von einem XSS-Allheilmittel hab ich leider noch nichts gefunden :( . Allerdings gibt es wohl immer mehr Leute, die gar nicht empfehlen, den Input zu encoden, sondern einfach den kompletten Output, was das Ganze schon etwas einfacher macht :) . Dazu gibt es auch hier einen sehr interessanten Ansatz: http://blog.codeville.net/2007/12/19/aspnet-mvc-prevent-xss-with-automatic-html-encoding/ . Steht zwar MVC drüber, sollte aber auch für WebForms funktionieren. Das muss man dann aber auch erst einmal allen Plugin-Autoren nahe bringen, vor allem sollten sie vorkompilierte Webseiten vermeiden ;) .


UGrohne - Sa 13.12.08 10:20
Es geht nicht nur um XSS und SQL-Injection, sondern auch einfach darum, alles eingehende zu prüfen und mögliche Programmierfehler zu "verschleiern", indem vorab der Typ der Parameter geprüft wird und damit auch keine unpassenden Übergabewerte wie Strings für einen Integer-Wert vorkommen sollen.

Zudem hätte ich dann die Möglichkeit, die Eingabewerte zu korrigieren, falls möglich.


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!