Alo*_*lok 6 c# asp.net veracode
我们在ASP.Net和C#中有一个遗留的Web应用程序,我们得到了大约400个以及Veracode扫描引发的跨站点脚本漏洞.我已经创建了一个示例Web应用程序并模拟了该问题,并发现每当我们使用任何字符串输入时,它就会提高它的缺陷.这样做HttpUtility.HtmlEncode(TextBox1.Text);"满足Veracode的,但是应用在所有400位这种变化是不可行的话就工作和测试工作巨量.我正在寻找在httphandler中实现一些插件,以便所有输入都在一个地方编码,我们无需在任何地方进行更改.有人可以引导我,如果这是可能的,如果是,即使你可以指导我只是接近将足够好,至少有一个方向.提前谢谢了.
StringOps strop = new StringOps();
string txt1, txt2;
txt1 = HttpUtility.HtmlEncode(TextBox1.Text);
txt2 = HttpUtility.HtmlEncode(TextBox2.Text);
Response.Write(strop.Add(txt1, txt2));
如果我删除了HttpUtility.HTMLEncode行,Veracode会抱怨它.由于我们正在进行这种字符串操作的地方很多,因此无处不在.是否可以在单个位置实现此编码,并且所有响应和请求都应该通过该管道,例如HTTPHandler和HTTPModule.
听着,我还有一个使用 ASP.NET 1.0 或 2.0 的旧站点。我们确实将其框架更改为4.0。
因此,我的建议是更改其框架并运行冒烟测试,可能会出现一些问题,然后按预期解决,然后主要关注处理 Response.Write 之类的事情。由于 ASP.net 现在是开源的,请获取这些代码并对核心功能进行最少的更改并完成您的工作,请尝试尽可能多地利用部分功能或任何类似的东西,以便在不丢失更改的情况下进行升级。