掲示板
blog
[ASP.NET] XSS Detect (beta)
MS ダウンロードセンターより。
XSS Detect Beta Code Analysis Tool
Version: 1.0
Date Published: 10/22/2007
Language: EnglishXSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths.
System Requirements
* Supported Operating Systems: Windows Vista; Windows XP
Microsoft Visual Studio 2005
Microsoft .NET Framework Version 2.0
XSS ( クロスサイトスクリプティング ) 脆弱性があるかどうか調べるための、 静的なコード分析ツールです。
アセンブリを調べて、 ユーザコントロールの入力から脆弱な出力までのデータフローパスを、 分析してくれるらしいです。
ACE Team: XSSDetect Public Beta now Available! に、 スクリーンショットがありました。
( 2007/10/25 追記 ) もう少し詳しい解説が、 %41%43%45%20%54%65%61%6d ( って、 なぜに % エンコードされたタイトル? デコードすれば "ACE Team" f(^^; ) の Some technical details on how XSSDetect does Dataflow Analysis に載っています。
# ユーザ入力をいったん DB やセッションオブジェクトに突っ込んで、 別の画面で取り出して表示する …なんてとこまでは、 きっと分析してくれんだろうなぁ f(^^;
( For instance, the input from the user are kept in database or session object once, they are taken out afterwards, and they displays it on another screen. Such complex behavior ...will it not be analyzed? )
| 固定リンク
「-プログラミング ( 2007.10-12 )」カテゴリの記事
- Silverlight Installation Experience Guide(2007.10.31)
- [わんくま同盟 名古屋勉強会 #01] 「初めての MSF Agile」 資料(2007.12.08)
- わんくま同盟 名古屋勉強会 #01(2007.12.08)
- MSDTC の設定 …面倒だよぉ (ToT(2007.11.07)
- IE7 の自動配布は、 2008年2月13日から(2007.12.19)
コメント