编码来自可信来源(如AD)的输出

时间:2013-04-25 15:14:21

标签: asp.net-mvc active-directory security xss

我们最近一直在讨论从可靠来源(如Active Directory)编码输出数据的优点。我们有一个Web应用程序,显示从AD查询的用户列表,并允许以各种方式管理它们。该论点认为,如果来自AD的数据不是Html编码的,那么如果您有权访问域控制器,则可以注入脚本并对该站点执行XSS样式的攻击;例如,通过添加脚本作为AD用户的名字。

两种思想流派(1种用于不验证,2种用于验证)似乎是:

  1. 如果您可以访问DC,则可以比将代码注入到显示您已经访问过的信息的站点中做得更糟。您也可以直接查看信息。那为什么要这么麻烦?
  2. 如果您是域管理员,您可以制作此攻击,从而创建一个后门程序,即使您离开公司也可以访问信息。

    3. 我认为手头的问题实际上是一个更通用的问题,除了防范恶意输入的常见做法之外,您是否需要防范(并因此编码)来自受信任来源的输出数据。

1 个答案:

答案 0 :(得分:0)

总是进行输出编码是一种好习惯。您已使用MVC标记了该问题,因此我假设您的Web应用程序是MVC。如果您正在使用Razor视图,则会自动对输出进行编码。更多详情here

相关问题
最新问题