技術/ASP.NET/ViewStateメモ

• [ Prev ]
• [ Next ]
• [ 技術 ]

ViewStateの参考情報リンクメモ。

日本語：

• ASP.NETの状態管理：ビューステート／クッキー／セッション情報 － ＠IT
  • http://www.atmarkit.co.jp/fdotnet/bookpreview/learnaspnet_0701/learnaspnet_0701_01.html
• ＠IT：連載：プログラミングASP.NET　第15回　セッションとビューステート
  • http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet15/aspnet15_03.html
• ASP.NET のビュー ステートの理解
  • http://msdn.microsoft.com/ja-jp/library/ms972976.aspx

英語：

• Understanding ASP.NET View State
  • http://msdn.microsoft.com/en-us/library/ms972976.aspx

個人的にはMSDN英語版の "Understanding ASP.NET View State" が一番有用で分り易かった。ASP.NETのページ処理のLifeCycleをまず解説しており、全体像を把握できるように配慮されている。

ViewStateを介したXSS攻撃：

• Dailydave: XSS in viewstate
  • http://seclists.org/dailydave/2010/q1/64
• Trustwave's SpiderLabs Security Advisory TWSL2010-001: Multiplatform View State Tampering Vulnerabilities
  • https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt
• Beware of Serialized GUI Objects Bearing Data
  • https://www.blackhat.com/presentations/bh-dc-10/Byrne_David/BlackHat-DC-2010-Byrne-SGUI-slides.pdf

セキュリティ上の対処としては以下の2点に尽きる。

1. MACを有効にする。
2. 暗号化を有効にする。

FiddlerとそのPluginであるWatcherを使うと、MACが有効か自動判定してくれるようだ。実際に手許で動かしたわけでないので、未確認情報。

• 【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする (1) FiddlerとWatcherのインストール | エンタープライズ | マイコミジャーナル
  • http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html

• [ Prev ]
• [ Next ]
• [ 技術 ]