« Re: 日経 Tech-On! のサイトはブラウザを替えればログインせずに読めまくり | トップページ | [萌ゆる神の国!] 志賀島の金印 »

2007年10月23日 (火)

[ASP.NET] XSS Detect (beta)

MS ダウンロードセンターより。

XSS Detect Beta Code Analysis Tool

Version:    1.0
Date Published:    10/22/2007
Language:    English

XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths.

System Requirements
    * Supported Operating Systems: Windows Vista; Windows XP
Microsoft Visual Studio 2005
Microsoft .NET Framework Version 2.0

XSS ( クロスサイトスクリプティング ) 脆弱性があるかどうか調べるための、 静的なコード分析ツールです。
アセンブリを調べて、 ユーザコントロールの入力から脆弱な出力までのデータフローパスを、 分析してくれるらしいです。

ACE Team: XSSDetect Public Beta now Available! に、 スクリーンショットがありました。

( 2007/10/25 追記 ) もう少し詳しい解説が、 %41%43%45%20%54%65%61%6d ( って、 なぜに % エンコードされたタイトル? デコードすれば "ACE Team" f(^^; ) Some technical details on how XSSDetect does Dataflow Analysis に載っています。


# ユーザ入力をいったん DB やセッションオブジェクトに突っ込んで、 別の画面で取り出して表示する …なんてとこまでは、 きっと分析してくれんだろうなぁ f(^^;
( For instance, the input from the user are kept in database or session object once, they are taken out afterwards, and they displays it on another screen. Such complex behavior ...will it not be analyzed? )


« Re: 日経 Tech-On! のサイトはブラウザを替えればログインせずに読めまくり | トップページ | [萌ゆる神の国!] 志賀島の金印 »

-プログラミング ( 2007.10-12 )」カテゴリの記事







この記事へのトラックバック一覧です: [ASP.NET] XSS Detect (beta):

» [.NET]XSS Detect [新日々此何有哉]
biac の それさえもおそらくは幸せな日々@nifty: ASP.NET XSS Detect (beta) 紹介しようと思ったら先を越された(^^;。ダウンロードセンタの説明によると、性的コード分析をかけてCross Site Scriptingを検出するそうで。コンパイル済みのアセンブリでもOKだそうな... [続きを読む]

受信: 2007年10月24日 (水) 00時55分

« Re: 日経 Tech-On! のサイトはブラウザを替えればログインせずに読めまくり | トップページ | [萌ゆる神の国!] 志賀島の金印 »