亂亂寫 Blog

上個月介紹的 SDL for VSTS 2008 時，裡面就有內附 check in policy 的項目，裡面幾乎都是針對 C/C++ 進行補強的地方

像是 SDL Bannd APIs  就不允許開發人員去呼叫有危險的 api

搭配 C/C++ 的 Code Review ，可以讓 C 的開發團隊可以更有效率監控 source code

http://msdn.microsoft.com/en-us/library/bb288454.aspx   ( 裡面有詳細

參考網址  http://blogs.technet.com/secure/archive/2008/04/10/banned-api.aspx

-----------------------------------------------------------------------------------------------------------------------------

駭客攻擊網站都有 Tool 可以用，當然開發的程式碼也一樣有 Tool 可以對應嚕！

本來想弄畫面上來的 ( 即然別人有做好的就省工啦！)

試著對 PetShop 去檢測，很輕松地抓出 22 個。其中有近 20個都是 XSS 攻擊的 issue

這正好可以和 VSTS 的 程式碼檢測互補

  

從畫面上可看到右下角有程式呼叫的過程

Microsoft Code Analysis Tool .NET  v1 CTP

http://www.microsoft.com/downloads/details.aspx?FamilyId=0178e2ef-9da8-445e-9348-c93f24cc9f9d&displaylang=en

參考網址 http://www.dotblogs.com.tw/chhuang/archive/2009/03/23/7650.aspx

--------------------------------------------------------------------------------

看到中間有個 AntiXss 那個就是專門負責處理網站字串的 Lib

這個提供了一系列的 api 讓我們可以不用自已再去寫  html / script 轉碼造成的問題

而且搭配導入 SDL 時更可以讓開發人員所寫出來的 code 會比較一致  ( 不會有人是用 aspx 機制、有人是自已去解析 )

至於怎麼用？什麼時候用？請看一些怎麼被 XSS 攻擊的相關說明。

Microsoft Anti-Cross Site Scripting Library V3.0 Beta

http://www.microsoft.com/downloads/details.aspx?FamilyId=051ee83c-5ccf-48ed-8463-02f56a6bfc09&displaylang=en

--------------------------------------------------------------------------------

這很像是把任何可能被攻擊的點，全部列出並製作成「教戰手則」來說明應該要怎驗證和測試

而這個 tool 也可以讓我們自已增減項目和內容，用樹狀結構的方式可以讓我們很方便管理

( 不知道裡面的項目什麼時候可以有中文版的 )

 

Microsoft Threat Analysis & Modeling v2.1.2

http://www.microsoft.com/downloads/details.aspx?familyid=59888078-9DAF-4E96-B7D1-944703479451&displaylang=en

------------------------------------------------------------------------------

最後介紹如何用 ASP.NET 建置安全的網站  ，把觀念弄懂比用什麼都還來得更重要！

http://msdn.microsoft.com/zh-tw/library/0ye4y419(VS.80).aspx

使用 ASP.NET 儲存敏感資訊

http://msdn.microsoft.com/zh-tw/library/kek09k9k(VS.80).aspx