Hallo,

ich arbeite gerade an einer großen ASP.NET-Anwendung, eine Art CMS. Natürlich sollte ich die Eingabeparameter übergeben, da aber mehrere Leute Erweiterungen dazu schreiben, möchte ich das zentral machen. Ich hab mir schon Gedanken darüber gemacht, das Ganze in der Global.asax zu machen udn in der Datenbank die erlaubten Parameter und deren Typ zu hinterlegen. Tanzt einer aus der Reihe wird der Request abgewiesen und gar nicht durchgereicht. Direkt etwas probiert habe ich dazu noch nicht, weil ich mir nicht sicher bin, ob der Ansatz überhaupt funktioniert.

Wie macht Ihr das in solchen Fällen, gibts da vielleicht schon was von Ratiopharm?

Grüße,

Uwe

Ich bin mir nicht sicher, was eine zentrale Überprüfung für Vorteile haben soll. Könnte aber auch daran liegen, dass ich noch nie mit einem CMS gearbeitet habe . Könntest du ein simples Beispiel für ein Plugin und seine Parameter nennen?
Oder geht es vor allem darum, dass selbst das schlechtest geschriebene Plugin gegen XSS immun gemacht werden soll?

Kha hat folgendes geschrieben :

Ich bin mir nicht sicher, was eine zentrale Überprüfung für Vorteile haben soll. Könnte aber auch daran liegen, dass ich noch nie mit einem CMS gearbeitet habe . Könntest du ein simples Beispiel für ein Plugin und seine Parameter nennen?

Ein Forum z.B., ein Shop usw usf . Dort gibts dann entsprechend POST- und GET-Parameter, mit verschiedenen Typen z.B. Integer, HTML, Strings usw. Und genau darauf will ich prüfen.

Kha hat folgendes geschrieben :

Oder geht es vor allem darum, dass selbst das schlechtest geschriebene Plugin gegen XSS immun gemacht werden soll?

Yapp, die meisten werde ich schreiben, aber ich möchte mich vor eigenen Fehlern bewahren. Außerdem müsste ich dann jetzt überall noch die Überprüfung nachrüsten.

Von einem XSS-Allheilmittel hab ich leider noch nichts gefunden . Allerdings gibt es wohl immer mehr Leute, die gar nicht empfehlen, den Input zu encoden, sondern einfach den kompletten Output, was das Ganze schon etwas einfacher macht . Dazu gibt es auch hier einen sehr interessanten Ansatz: blog.codeville.net/2...matic-html-encoding/ . Steht zwar MVC drüber, sollte aber auch für WebForms funktionieren. Das muss man dann aber auch erst einmal allen Plugin-Autoren nahe bringen, vor allem sollten sie vorkompilierte Webseiten vermeiden .

Es geht nicht nur um XSS und SQL-Injection, sondern auch einfach darum, alles eingehende zu prüfen und mögliche Programmierfehler zu "verschleiern", indem vorab der Typ der Parameter geprüft wird und damit auch keine unpassenden Übergabewerte wie Strings für einen Integer-Wert vorkommen sollen.

Zudem hätte ich dann die Möglichkeit, die Eingabewerte zu korrigieren, falls möglich.