Да, и если правильно помню Label, Checkbox, RadioButton и подобное тоже не санитизируют отображаемые значения. Об этом приходится помнить, но формально это не уязвимость, а особенность реализации:) Исправление этого может сломать существующие проекты после автообновления, поэтому это поведение не меняют, так же как и дефолтные значения/дефолтное поведение других классов.
Простите за прямоту, но большей дичи про .NET Security я еще не читал, начиная от школолольной терминологии («хакнуть ASP инфраструктуру», «с точки зрения взлома», я вообще думал безопасники в Рамблере оперируют понятиями модели угроз), упоминания Active Server Pages (это как в статье про JavaScript рассказывать про Java), простигосподи сравнение с PHP тут каким-то боком вылезло, какой-то безнадежно устаревшей и неполной(!) статистики CVE в платформе. И с этого мы резко перескакиваем к SMTP Header Injection, CSS Injection, XXE в docx, Redis, SMB Hijacking, которые к .NET имеют ровно столько же отношения, что и к другой платформе.
Еще есть путаница в понятиях «устаревшие технологии» и «уязвимые технологии». Все найденные уязвимости в .NET платформе исправляются сразу во всех фреймворках и если вы используете ASP .NET WebForms к вам это исправление прилетит с обновлениями Windows (автоматически, главное не отключить вручную). Т.е. использовать WebForms ничем не хуже ASP .NET Core c точки зрения безопасности платформы. Исключение составляют конфигурации по умолчанию, они часто исправляются в новых версиях фреймворка, чтобы поддерживать обратную совместимость (пример, XML парсеры уязвимые к XXE в дефолтных конфигурациях до FW 4.5).
Если вам интересна тема именно .NET Security, то я бы порекомендовал потратить время на чтение “Application Security in .NET Succinctly ” by Stan Drapkin и просмотр докладов по безопасности с DotNext и PDUG (VladimirKochetkov делал много хороших и там и там).
На DotNext Стэн будет читать зубодробительный доклад про криптографию, мы сейчас полируем материал. А главное есть возможность пообщаться вживую и задать вопросы по своим проектам.
перешёл в конце концов на C#, который произвёл самое глубокое впечатление, позволив мне успешно работать как с микроконтроллерами разных типов, так и с SQL СУБД и интереснейшими возможностями WPF, а затем продлил возможность его использования в Web и смартфонах
Если есть желание рассказать про свой опыт, поделиться интересными находками в докладе — пишите! Про микроконтроллеры и C# у нас еще никто не рассказывал, может получиться интересно.
Спасибо, всегда приятно получать такие отзывы. Сейчас сообщество набрало критическую массу участников и его развитие зависит в первую очередь от самих участников, желание делать доклады, приходить на offline встречи и участвовать в обсуждении. Поэтому, чтобы наше движение развивалось и появлялись новые интересные доклады, призываю всех, кому нравятся эти встречи, рассказать про них коллегам и друзьям! А уровень качества контента мы обещаем поддерживать.
А что за препятствия? Я помню мы общались с ребятами из Екатеринбурга год назад, но каких-то конкретных предложений по сотрудничеству не было. Если мы можем быть чем-то полезны, было бы здорово)
Чуть раньше я был в Киеве на .NET Fest, эту конфу проводили первый раз, и планируют на следующий год повторить. .NET сообщество очень активное, много вопросов/обсуждений после доклада, часть из них сейчас в почту перетекла. Глядя на все это, мне нравится идея собрать на виртуальной площадке DotNetRu как можно больше русскоязычных сообществ, в том числе и из Украины, Белоруссии. Цель этого дать одну точку входа, где можно посмотреть когда в вашем городе ближайший митап/конференция, найти видео доклада по интересующей теме (сейчас у нас куча качественного видео www.youtube.com/channel/UCHFl23Ah_l4gEUTXYUStQdQ, о котором мало кто знает).
Поддерживает, но, видимо, формат поддержки поменялся. А не знаю, как это было 5-7 лет назад, тут наверное mezastel может рассказать, он делал ALT .NET в Питере еще до появления этой волны митапов. В Москве мы несколько встреч проводили на площадке от Microsoft, в Питере готовится митап где будут спикеры из MS, пока обсуждаем темы.
Помню несколько докладчиков думали выступить на англ, больше с целью тренировки, но что-то отложили и забыли в итоге. ИМО перевод не стоит тех усилий, лучше докладчику подготовить 2ую версию доклада на англ и съездить на какую-нибудь западную конфу и рассказать. Технический уровень большинства докладов с наших митапов соответствует уровню хорошей конференции. Многие докладчики, кто делал первое выступление на митапе, а потом шел на DotNext, получали хорошие оценки и отзывы там.
Вы, наверное, DotNext имеете ввиду? Конференция и наши встречи — это разные события и в том числе разные люди их делают. Хотя многие из активистов .NET сообщества участвуют в подготовке DotNext'а, а организаторы DotNext помогают сообществу (например, часто оплачивают съемку докладов, и мы публикуем статьи в их блоге, иначе Хабр считает подобные статьи рекламой и банит, требуя покупки корпоративного блога для сообщества. А из наших докладов на английском я могу вспомнить только Сашу Гольдштейна.
А можно об этом поподробней? Что имеется ввиду под словом «патчим», вы же формируете SDP-пакеты, разве нет? Или вы используете какой-то особый формат или особые параметры?
Спасибо! С презентацией мой продолб. Презентации и демо записывали с экрана ноутбука. Потом эту запись планировали смонтировать с картинкой с камеры, поэтому спикера и снимали крупно. Но из-за накладок запись экрана не получилась, с доклада Владимира ее вообще нет, с моего доклада только часть. Можно взять презентации отсюда: теория и практика. Все остальные презентации и примеры кода можно найти в группах сообщества, мы оперативно выкладываем их после митапов.
1) Покажите не ручное экранирование параметров параметров, решающее проблему;)
2) А нужен ли здесь фильтр на апострофы и кавычки? Решит ли проблему фильтр на двойное тире?
Еще есть путаница в понятиях «устаревшие технологии» и «уязвимые технологии». Все найденные уязвимости в .NET платформе исправляются сразу во всех фреймворках и если вы используете ASP .NET WebForms к вам это исправление прилетит с обновлениями Windows (автоматически, главное не отключить вручную). Т.е. использовать WebForms ничем не хуже ASP .NET Core c точки зрения безопасности платформы. Исключение составляют конфигурации по умолчанию, они часто исправляются в новых версиях фреймворка, чтобы поддерживать обратную совместимость (пример, XML парсеры уязвимые к XXE в дефолтных конфигурациях до FW 4.5).
Если вам интересна тема именно .NET Security, то я бы порекомендовал потратить время на чтение “Application Security in .NET Succinctly ” by Stan Drapkin и просмотр докладов по безопасности с DotNext и PDUG (VladimirKochetkov делал много хороших и там и там).
На DotNext Стэн будет читать зубодробительный доклад про криптографию, мы сейчас полируем материал. А главное есть возможность пообщаться вживую и задать вопросы по своим проектам.
Если есть желание рассказать про свой опыт, поделиться интересными находками в докладе — пишите! Про микроконтроллеры и C# у нас еще никто не рассказывал, может получиться интересно.
А можно об этом поподробней? Что имеется ввиду под словом «патчим», вы же формируете SDP-пакеты, разве нет? Или вы используете какой-то особый формат или особые параметры?
2) А нужен ли здесь фильтр на апострофы и кавычки? Решит ли проблему фильтр на двойное тире?