漏洞掃描軟體只能參考而非門檻

話說上個月我幫某老大寫了 ASP 動態網頁,要掛在某政府單位的官方網站內。
前陣子該網頁要掛上網站時,單位資訊室用一套國外弱點掃描軟體掃,這套軟體是掃描原始碼,不是做測試攻擊來查反應。
主要是有在 URL 參數內沒防護,所以可能會有 XSS (Cross-Site Scripting) 弱點。
我的 URL 參數只有 PageNumber / PageSize ,都是整數,然為了安心起見,仿效 ASP.NET ,一進入網頁先針對 url 參數進行掃描,把 ‘|<|=|>|"|&|script: 等當關鍵字,以此來過濾。
此外還有一個 debugOutput 全域參數,用在開發階段,程式碼裡面有:
If debugOutput Then
   輸出除錯資訊
End If
此外我原先有做隱碼 (SQL Injection) 偵測,沒問題才進入查詢。
 
結果這個軟體是做原始碼掃描,只要輸入字串是從 url 或 web form 上來的,就要用 server.htmlEncode ,否則不承認安全,怎樣掃描都不過,就跟該單位的資訊室承辦人聯繫,最後我直接聯絡該軟體台灣代理商,把程式碼發給該台灣代理商,由該代理商的顧問發 eMail 說明部分掃描不過的可視為安全,並在部分加上無用的 server.HtmlEncode ,才順利結束。
 
我是覺得用弱點掃描軟體是對不熟的人有幫助,但我比較偏向弱點攻擊軟體而非原始碼掃描軟體,弱點防護各有巧妙不同,原始碼掃描軟體不能處理設計師的邏輯,還不如用攻擊方式測是否有弱點更有說服力,在原始碼掃描結果自動產生說明文件內,已經明確說到僅供參考,但若做為是否可掛載的依據,實在是會搞死人,大家都跟著累。
廣告
Categories: 組織 | 發表留言

文章分頁導航

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: