gpt4 book ai didi

c# - 安全运行时引擎 VS AntiXSS 库

转载 作者:行者123 更新时间:2023-11-30 14:40:41 25 4
gpt4 key购买 nike

我看到网络保护库 (WPL) 带有 2 个不同的选项:

  • 安全运行时引擎 (SRE)
  • 反 XSS 库

第一个看起来很棒,因为不需要代码,它是一个 HTTPModule。第二种需要在代码中手动添加转义逻辑。

尽管我提到了这个优势,但 SRE 并不是很流行,我想知道为什么。这个库是否存在任何已知问题,或者我没有发现使用 AntiXSS 的任何重大优势?

谢谢!

最佳答案

我在 SRE 中看到的最大缺陷是在我看来它依赖于“黑名单”行为。例如,它会尝试检测 SQL 语句以提供 SQL 注入(inject)保护。黑名单很薄弱,仅仅是因为您必须知道所有潜在有害的输入才能提供 100% 的保护。

http://www.owasp.org/index.php/Data_Validation#Data_Validation_Strategies

这并不是说我看不到 SRE 的任何值(value)。我认为它看起来像是一个不错的工具,可以放在您的武器库中,但它应该被视为附加 防御层。

我看到使用这个库的唯一其他缺点是它可能会鼓励编码人员懒于学习如何保护他们的应用程序。依靠任何单独的工具来提供保护(或者甚至是一堆工具来提供保护)充其量是愚蠢的。程序员很容易无意中引入阻碍最佳工具的安全漏洞。因此,一个关心安全性的优秀开发人员不会依赖这样的工具,但无论如何都会进行转义,而不是相信一个工具会为他们做这件事。

换句话说,这看起来是一个很好用的工具,但不能以自己采取预防措施为代价。而已经知道如何防御常见网络攻击的程序员通常都足够聪明,知道不能仅仅依赖一种工具。他们也可能已经进行了防御性编码,如果您已经在防止 SQL 注入(inject),那么添加一个执行相同操作的模块似乎是多余的。我敢猜测,这就是人气不高的原因。

另一方面要注意的是,它提供的功能类似于您在优秀的 Web 应用程序防火墙 (WAF) 中找到的功能。它存在相同的基本缺陷。这是一本很好的读物,解释了为什么 WAF 还不够,它也回答了为什么 SRE 还不够,以及为什么我们不依赖它。

http://www.acunetix.com/blog/news/implementing-a-web-application-firewall-only-is-not-enough-to-secure-web-applications/

关于c# - 安全运行时引擎 VS AntiXSS 库,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5034586/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com