Πρώτα Βήματα - Web Development

Re: Απ: Validate Request + Cross Site Scripting attack

Oldgeorge — Thu, 29 May 2008 00:22:41 GMT

Νομίζω ότι το πρόβλημα σου είναι ότι ο Rich Text Editor που χρησιμοποιείς γράφει στο postback data το raw html output που έχει βγάλει και γι'αυτό παίρνεις το error (δεν είναι ακριβώς ορθή αυτή η ανάλυση αλλά προσπαθώ να το κρατήσω σε απλό επίπεδο, μην βαράτε οι υπόλοιποι). Παρόμοια θέματα μπορεί να έχεις αν χρησιμοποιείς 3rd party controls που θέλουν scriptmanager για να τρέξουν (ή τουλάχιστον έτσι θυμάμαι). Για την δεύτερη περίπτωση, δεν υπάρχει εύκολη λύση. για την πρώτη ένα απλό Server.HTMLEncode (myeditor.text) και το αντίστοιχο Server.HTMLDecode όταν ενημερώνεις τα περιεχόμενα του editor μπορεί να εξαφανίσουν το μήνυμα λάθους χωρίς να χρειάζονται περαιτέρω διαδικασίες.

Απ: Validate Request + Cross Site Scripting attack

epp1123 — Tue, 27 May 2008 20:01:51 GMT

Arigato

Απ: Validate Request + Cross Site Scripting attack

Παναγιώτης Καναβός — Tue, 27 May 2008 20:00:17 GMT

Υπάρχει το documentation. Κοίτα το "Script Exploits Overview" και το "How To: Protect agains script exploits by applying HTML Encoding to strings".

Απ: Validate Request + Cross Site Scripting attack

epp1123 — Tue, 27 May 2008 19:50:56 GMT

Σημειωτέον το DescriptionTextBox είναι ένα απλό asp:TextBox. Τώρα με το ValidateRequest = false δουλεύω μία χαρά, μέχρι το textbox να αντικατασταθεί από έναν HTMLEditor τρίτου κατασκευαστή. Λοιπόν εν τέλει έχουμε και λέμε

1. Ευχαριστώ. Η απορία μου λύθηκε.
2. Για να κάνω εγώ το validation, γίνεται μέσα από τα controls ή πρέπει να γράψω και κώδικα επιπλέον; Αν ναι υπάρχει κάνας μπούσουλας της προκοπής και για μας τους αδαείς;

Απ: Validate Request + Cross Site Scripting attack

Παναγιώτης Καναβός — Tue, 27 May 2008 19:39:31 GMT

Οπότε το πρόβλημα είναι ότι ο χρήστης έβαλε <p> μέσα στο DescriptionTextBox. Αν αυτός είναι ο editor, έχεις πρόβλημα. Ή θα πρέπει να βρεις άλλο καλύτερο, ή να τον διορθώσεις έτσι ώστε να μην περνάει tags χύμα. Μπορείς επίσης να απενεργοποιήσεις το ValidateRequest για τη σελίδα, αλλά μετά θα πρέπει να κάνεις εσύ validate ότι πχ. το DescriptionTextBox δεν περιέχει scripts ή links σε άλλα sites, frames τα οποία κοιτάνε σε άλλα sites, κλπ, κλπ, κλπ.

Απ: Validate Request + Cross Site Scripting attack

epp1123 — Tue, 27 May 2008 19:27:01 GMT

Όντως, το Cross Site Scripting Attack είναι επίθεση από χάκερ, μάλλον έγραψα σφάλμα γιατί σκεφτόμουν ότι θα έχω κάνει κάποιο λάθος στο κώδικα οπότε θα οδηγούσε σε "σφάλμα".

Ναι μέσα σε textbox έχω βάλει html κώδικα.
O κώδικας λάθους είναι παρακάτω

Server Error in '/Cubeware' Application.

A potentially dangerous Request.Form value was detected from the client (ProductManagementFormView$DescriptionTextBox="<p>Το Hotel Works τη...").

Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. You can disable request validation by setting validateRequest=false in the Page directive or in the configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case.

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (ProductManagementFormView$DescriptionTextBox="<p>Το Hotel Works τη...").

Δεν φτιάχνω editor, είναι έτοιμος
Συγνώμη που δεν έγραψα περισσότερες πληροφορίες

Απ: Validate Request + Cross Site Scripting attack

Παναγιώτης Καναβός — Tue, 27 May 2008 19:02:40 GMT

Το Cross Site Scripting Attack δεν είναι σφάλμα αλλά τύπος επίθεσης από χάκερ. To ValidateRequest attribute σε προστατεύει από τέτοιες επιθέσεις, ελέγχοντας το input στη σελίδα. Το οποίο σημαίνει ότι κάτι περίεργο έχεις κάπου και προκαλεί αυτό το πρόβλημα. Σκέψου ότι το ValidateRequest είναι true by default, οπότε θα έπρεπε να σκάνε όλες οι εφαρμογές ASP.NET αν υπήρχε κάποιο πρόβλημα ή χρειαζόταν κάποια ιδιαίτερη ρύθμιση.

Θα πρέπει τουλάχιστον να μας πεις τί σφάλμα παίρνεις? Το exception που εμφανίζεται είναι το HttpRequestValidationException, αλλά τί στοιχεία σου δίνει? Μήπως έχεις βάλει html ή script μέσα σε κάποιο text box? Αυτό εννοείς στο #2? Μήπως δηλαδή προσπαθείς να φτιάξεις κάποιο editor? Αν αυτό εννοείς, ο λόγος που δεν χτυπάει στους διάφορους editors είναι γιατί οι editors ΔΕΝ δέχονται HTML ή script σε textbox, αλλά χρησιμοποιούν διάφορα κόλπα για να παρουσιάσουν ό,τι γράφεις μέσα σε DIVs, παραγράφους και IFRAMEs. Για παράδειγμα, ο editor του DotNetZone είναι ένα IFRAME. Η παρακάτω γραμμή δεν είναι script, αλλά το κείμενο ενός <P>. Αν θες να φτιάξεις το δικό σου editor καλύτερα να ξεκινήσεις διαβάζοντας τον κώδικα κάποιου έτοιμου open Source όπως ο FCKEditor.

alert();

Επίσης, καλό είναι να κάνεις σαφείς ερωτήσεις και να δίνεις αρκετές πληροφορίες, όπως το κείμενο του error message. Διαβάζοντας στο documentation τί κάνει το ValidateRequest και το παράδειγμα του HttpRequestValidationException υπέθεσα ότι προσπάθησες να βάλεις HTML ή script σε κάποιο TextBox. Αλλά δεν έχω ιδέα αν το "έπιασα" ή όχι. Μπορεί π.χ. να είδες κάτι στο event log ενός production server, το οποίο σημαίνει ότι μποπρεί ήδη να δέχεσαι επίθεση από hackers. Μπορεί το μήνυμα να σου ήρθε από κάποιο third party control, όπως .... ο FCKEditor οπότε ότι έγραψα είναι άσχετο.

Validate Request + Cross Site Scripting attack

epp1123 — Tue, 27 May 2008 18:26:29 GMT

Εν πρώτοις καλημέρα. Εν δευτέροις, μου εμφανίστηκε το παραπάνω σφάλμα, δηλαδή το Cross Site Scripting attack, και προκειμένου να συνεχίσω να δουλεύω έθεσα το Validate Request = false. Τα ερωτήματα που γεννούνται είναι δύο

1. Μπορώ να κάνω κάτι άλλο το οποίο θα μου επιτρέπει να έχω το Validate Request = true, αλλά να μην βγάζει το σφάλμα;
2. Αφού "χτυπάει" κάθε φορά που βλέπει HTML ή άλλον scripting κώδικα, τότε γιατί δε "χτυπάει" στον ASPxHTML Editor (control είναι αυτό) της Dev Express?