Web.config Security Analyzer 使ってみた

Web.config の脆弱性を検出するツール Web.config Security Analyzer (wcsa) の GUI 版を使ってみた。web.config を読み込ませると、こんなレポートが出てくる。

image

 

脆弱性検証ルール

今のところこんなルールが定義されている。

  • デバッグが無効になっているか
  • Form 認証のパスワードが暗号化されているか
  • カスタムエラーが有効になっているか
  • クッキーレス認証が無効になっているか
  • 認証クッキーを SSL で送信するようになっているか
  • 認証クッキーがユニークになるように考慮しているか
  • スライド式有効期限が無効になっているか
  • クッキーパスに制限を加えているか (‘/’ 以外を設定しているか)
  • 別の Web アプリケーションへのリダイレクトが無効になっているか
  • 暗号化されていないクッキーを拒否しているか
  • 検証されていないクッキーを拒否しているか
  • クライアントのスクリプトからクッキーへのアクセスが無効になっているか
  • ViewState が有効になっているか
  • ViewState のメッセージ認証チェックが有効になっているか
  • ViewState が暗号化されているか
  • リクエストの検証が有効になっているか
  • RoleManager が管理するクッキーを SSL で送信するようになっているか
  • RoleManager が管理するクッキーのスライド式有効期限が無効になっているか
  • RoleManager が管理するクッキーの暗号化が有効になっているか
  • RoleManager が管理するクッキーの検証が有効になっているか
  • RoleManager が管理するクッキーパスに制限を加えているか
  • クッキーレスセッションが無効になっているか
  • トレースが無効になっているか
  • コードアクセスセキュリティレベルが Minimal になっているか
  • Web.config にユーザー情報が定義されていないか

 

検証ルールとその適用方法

ルールは全て外部 XML ファイルとして定義されており、このファイルに

  • どの要素の
  • どのプロパティが
  • どういう値か (or どういう値ではないか)
  • + その他レポーティングのための情報

が書かれている。

wcsa はこの定義ファイルをロードした後、指定された web.config を XmlTextReader で読み込みながら、ルールに違反しているプロパティ値を探す、という挙動をしている。

Comments

Post a Comment

Popular posts from this blog

WPF の RichTextBox に文字列を設定する&取り出す

WPF の RichTextBox は内部に FlowDocument オブジェクトを持っていて、一部分の文字のスタイルを変えたり、表や画像を表示したりといった高度な文章表現ができるが、普通の TextBox と違って Text プロパティを持っていないので、直接文字列を読み書きすることができない。少々面倒だが、FlowDocument からテキスト領域を取り出して、そこに対して文字列を読み書きする、という風に実装しなければならない。 文字列の取得、設定でキーになるのが TextRange クラス。XAML で <RichTextBox Name="richTextBox"/> のように RichTextBox を宣言していたとすると、文字列の設定は FlowDocument document = this.richTextBox.Document; TextRange range = new TextRange(document.ContentStart, document.ContentEnd); range.Text = "ABCDEFG"; となる。設定する文字列がテキストファイルから読み込んだ文字列で、途中に改行が入っている場合は、1行1パラグラフになる。逆に文字列の取得は FlowDocument document = this.richTextBox.Document; TextRange range = new TextRange(document.ContentStart, document.ContentEnd); string text = range.Text;
Keep reading

WPFアプリにアニメーションGIFを表示させる

WPFには画像を表示するためのImageというコントロールがあるけれど、アニメーションGIFには対応していないらしく、1フレーム目だけが静止画として表示されてしまう。何かソリューションはないのかと探したところ、以下のようなやり方があるようだ。   1. MediaElementを使う <MediaElement Source=”パス” LoadedBehavior=”Play”/> と書くと、アニメーションGIFが表示できる。ただ、GIFファイルが埋め込みリソースになっているとだめなので、プロパティをいじって「出力ディレクトリにコピー」にしておかないといけない。見つけた中では一番シンプルなソリューションだったけれど、表示までに時間がかかる、アニメーションが途中で止まる、といった問題があり、すぐには解決できなかったので、次のPictureBoxを使う方法を採用することにした。   2. Windows FormsのPictureBoxを使う アニメーションGIFを設定したWindows FormsのPictureBoxをWindowsFormsHostでホストすれば、WPFの画面にアニメーションGIFを表示できる。まずXAMLでこのように書いておき、 <Window x:Class="WpfApplication1.Window1"     xmlns=" http://schemas.microsoft.com/winfx/2006/xaml/presentation"     xmlns:x=" http://schemas.microsoft.com/winfx/2006/xaml"     xmlns:wfi="clr-namespace:System.Windows.Forms.Integration;assembly=WindowsFormsIntegration"     xmlns:winForms="clr-namespace:Sy...
Keep reading

TFS: 別PCでのチェックアウトを取り消す

最近CodePlexにプロジェクトを作って、暇な時にコードを書いているのだが、開発に使っているPCの1つがハードディスク障害で立ち上がらなくなってしまった。それはそれで障害ないとあきらめたけれど、問題はこいつでチェックアウトしてしまっていたファイル。壊れたPCでチェックアウトしているという情報がサーバで保持されているため、なんとも具合が悪い。会社でVS2005+TFS2005を使っていた頃、コマンドラインで強制アンロックとかできたよな、と思って調べてみると、VS2010でもtfコマンドで強制アンロックができた。コマンドは tf undo /recursive /workspace:別PCで割り当てていたワークスペース名;ドメイン名\ユーザー名 $/ これでチームプロジェクト内の全ファイルのチェックアウトが解除される。ワークスペースはVSのソース管理エクスプローラで見れるし、 tf workspaces /owner:ドメイン名\ユーザー名 /computer:* で、どのPCでなんというワークスペースを割り当てているかわかるから、これで調べてもOK。 ちなみに、tfコマンドはVS2010のインストールフォルダ内のCommon7\IDEにある。
Keep reading