현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » ASP.NET 개발 보안가이드

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:asp.net_개발_보안_가이드 [2013/11/25 02:56] 121.140.124.172guide:asp.net_개발_보안_가이드 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 191: 줄 191:
 2. 페이지를 실행함. 그럴 경우 스크립트 때문에 메시지 상자에 txtString를 지나 브라우저에서 클라이언트 측 스크립트로 렌더링됨. 2. 페이지를 실행함. 그럴 경우 스크립트 때문에 메시지 상자에 txtString를 지나 브라우저에서 클라이언트 측 스크립트로 렌더링됨.
 \\ \\
-3. 설정값이 ValidateRequest = "true" 또는 제거 ValidateRequest의 페이지 속성을 다시 페이지로 이동합니다. 다음과 같은 오류 메시지가 표시되어 있는지 확인합니다.+3. 설정값이 ValidateRequest = "true" 또는 제거 ValidateRequest의 페이지 속성을 다시 페이지로 이동. 다음과 같은 오류 메시지가 표시되어 있는지 확인.
  
   A potentially dangerous Request.Form value was detected from the client (txtString="<script>alert('hello...").   A potentially dangerous Request.Form value was detected from the client (txtString="<script>alert('hello...").
줄 200: 줄 200:
   <% =   <% =
 ===  HTML 출력은 입력 매개 변수를 포함 여부 확인 === ===  HTML 출력은 입력 매개 변수를 포함 여부 확인 ===
-출력은 입력 매개 변수가 포함되어 있는지 여부를 확인하는 당신의 디자인 및 당신의 페이지 코드를 분석합니다. 이러한 매개 변수는 다양한 소스로부터 올 수 있습니다다음 목록은 일반적인 입력 소스를 포함합니다.:+출력은 입력 매개 변수가 포함되어 있는지 여부를 확인하고 디자인 및 당신의 페이지 코드를 분석. 이러한 매개 변수는 다양한 소스로부터 올 수 있. 
 +\\ 
 + 
 +예)일반적인 입력 소스
  
   * Form 필드   * Form 필드
줄 229: 줄 232:
  
 === 잠재적으로 위험한 HTML 태그와 속성 검토 === === 잠재적으로 위험한 HTML 태그와 속성 검토 ===
-당신이 동적으로 HTML 태그를 생성하고 잠재적으로 안전하지 않은 입력으로 태그 속성을 구성하는 경우, 당신이 그들을 쓰기 전에 태그 속성을 HTML로 인코딩해야합니다.+동적으로 HTML 태그를 생성하고 잠재적으로 안전하지 않은 입력으로 태그 속성을 구성하는 경우, 악의적인 사용자가 사용하기 전에 태그 속성을 HTML로 인코딩해야.
 예) aspx 페이지에서는 <사용하여 리턴 페이지에 HTML을 직접 작성하는 방법 예) aspx 페이지에서는 <사용하여 리턴 페이지에 HTML을 직접 작성하는 방법
   <%@ Page Language="C#" AutoEventWireup="true"%>   <%@ Page Language="C#" AutoEventWireup="true"%>
줄 257: 줄 260:
  
 가. 잠재적으로 위험한 HTML 태그 가. 잠재적으로 위험한 HTML 태그
-다음과 같은 일반적으로 사용되는 HTML 태그 악의적 인 사용자가 스크립트 코드를 삽입 할 수 있습니다 :+\\
  
 +예)악의적인 사용자가 스크립트 코드를 삽입 할 수 있는 일반적으로 사용되는 HTML 태그
   * <applet>   * <applet>
   * <body>   * <body>
줄 286: 줄 290:
   </style>   </style>
 === 대책 평가 === === 대책 평가 ===
-몇 가지 입력을 사용하여 HTML을 생성하는 ASP.NET 코드를 찾을 때, 당신은 특정 응용 프로그램에 대한 적절한 대책을 평가+몇 가지 입력을 사용하여 HTML을 생성하는 ASP.NET 코드를 찾을 때, 특정 응용 프로그램에 대한 적절한 대책을 평가
 \\ \\
  
 가. HTML 출력을 인코딩 가. HTML 출력을 인코딩
 \\ \\
-당신이 웹 페이지에 텍스트 출력을 작성하고 텍스트를 HTML 특수 문자 (예 : <,>, 그리고 포함 된 경우 모르는 경우 )를 사용하여 텍스트를 미리 처리+웹 페이지에 텍스트 출력을 작성하고 텍스트를 HTML 특수 문자 (예 : <,>, and & 포함 된 경우 모르는 경우 )를 사용하여 텍스트를 미리 처리
 \\ \\
 예) 텍스트 사용자 입력, 데이터베이스 또는 로컬 파일에서 온 경우이 작업을 수행 예) 텍스트 사용자 입력, 데이터베이스 또는 로컬 파일에서 온 경우이 작업을 수행
줄 305: 줄 309:
 다. 필터 사용자 입력 다. 필터 사용자 입력
 \\ \\
-텍스트 입력 필드의 어떤 종류를 예를 들어 HTML 요소의 범위를 수락해야 페이지가 있다면, 당신은 페이지에 대해 ASP.NET 요청 유효성 검사를 비활성화해야합니다. 이렇게 여러 페이지가있는 경우, 당신이 동의 할 경우에만 HTML 요소를 허용하는 필터를 만듭니다.+텍스트 입력 필드의 어떤 종류를 예를 들어 HTML 요소의 범위를 수락해야 페이지가 있다면, 페이지에 대해 ASP.NET 유효성 검사를 요청시 비활성화해야. 이렇게 여러 페이지가있는 경우, 동의 할 경우에만 HTML 요소를 허용하는 필터를 만.
 \\ \\
   * 안전 제한된 HTML 입력   * 안전 제한된 HTML 입력
-  - ASP.NET 요청 유효성 검사를 비활성화 ValidateRequest="false"로 하는 특성을 @ Page로 지시.+  - ASP.NET 유효성 검사를 요청시 비활성화 ValidateRequest="false"로 하는 특성을 @ Page로 지시.
   - 문자열 입력 인코딩 HtmlEncode 방법.   - 문자열 입력 인코딩 HtmlEncode 방법.
-  - 사용 StringBuilder을 고 전화를 교체 선택적으로 허용 할 HTML 요소에 인코딩을 제거하는 방법. +  - 사용되는 StringBuilder을 불러오고 교체 선택적으로 허용 할 HTML 요소에 인코딩을 제거하는 방법.

추적: