MS ダウンロードセンターより。
XSS Detect Beta Code Analysis Tool
Version: 1.0
Date Published: 10/22/2007
Language: English
XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths.
System Requirements
* Supported Operating Systems: Windows Vista; Windows XP
Microsoft Visual Studio 2005
Microsoft .NET Framework Version 2.0
XSS ( クロスサイトスクリプティング ) 脆弱性があるかどうか調べるための、 静的なコード分析ツールです。
アセンブリを調べて、 ユーザコントロールの入力から脆弱な出力までのデータフローパスを、 分析してくれるらしいです。
ACE Team: XSSDetect Public Beta now Available! に、 スクリーンショットがありました。
( 2007/10/25 追記 ) もう少し詳しい解説が、 %41%43%45%20%54%65%61%6d ( って、 なぜに % エンコードされたタイトル? デコードすれば "ACE Team" f(^^; ) の Some technical details on how XSSDetect does Dataflow Analysis に載っています。
# ユーザ入力をいったん DB やセッションオブジェクトに突っ込んで、 別の画面で取り出して表示する …なんてとこまでは、 きっと分析してくれんだろうなぁ f(^^;
( For instance, the input from the user are kept in database or session object once, they are taken out afterwards, and they displays it on another screen. Such complex behavior ...will it not be analyzed? )