Hai mai quel senso che la [inserire la cultura qui] sembra dominare completamente tutto al totale oblio di tutti gli altri là fuori? Questo genere di cose viene di solito le persone un po 'eccentrico, ma si scopre ho tipo di essere che facendo un po' con me stesso ASafaWeb .
Vedete, ASafaWeb lavora guardando a come un sito web risponde alle richieste di alcuni allora e da quelle risposte che trae alcune conclusioni su come la cosa è configurato. Per esempio, se ASafaWeb vede una risposta come quella qui sotto, sa che gli errori personalizzati non sono stati configurati correttamente:
Si sa che c'è stato un errore perché il codice sorgente contiene un tag <h1> che inizia con il "Server Error in" testo. ASafaWeb utilizza il pacchetto Agility HTML per togliere facilmente questo per la risposta e quindi apportare alcuni suggerimenti su come l'applicazione potrebbe essere meglio configurata.
Fin qui, tutto bene, ma cosa succede quando si vede una risposta come questo:
No, non è i dadi CLR andati, è solo olandese e il problema con l'olandese è che non è inglese.Stabilirsi, io dico "problema" semplicemente perché non è possibile applicare la stessa logica lingua parlata come prima e farla franca. Invece, abbiamo bisogno di ottenere un po 'più creativi ...
Diamo uno sguardo al codice sorgente della pagina di errore in inglese:
< corpo bgcolor = "white"> < durata > < H1 > Server Error in '/' Application. < hr width = 100% size = 1 color = silver> </ H1 >
E di quella olandese:
< corpo bgcolor = "white"> < durata > < H1 > Serverfout in toepassing /. < hr width = 100% size = 1 color = silver> </ H1 >
Fortunatamente, markup HTML in inglese è la stessa di markup HTML in olandese così mentre il rendering della pagina è completamente diverso, i modelli di markup sono identici al 100%.Ciò significa che ASafaWeb può cambiare la sua logica dalla ricerca di quel tag <h1> con il messaggio di errore in inglese ad una condizione più simile a questa:
"Se il tag <body> ha un attributo bgcolor impostato sul bianco e poi contiene un tag <span> che contiene poi un tag <h1> che contiene quindi un tag <hr> con una larghezza del 100%, una dimensione di 1 e un colore d'argento, è una pagina di errore "
Ora, naturalmente, questo potrebbe causare un falso positivo: è concepibile che qualcuno ha costruito la loro markup esattamente lo stesso . Ma in realtà, che mette gli attributi bgcolor più?! Seriamente, però, la probabilità di un falso positivo è infinitamente piccolo, almeno rispetto alla probabilità di non identificare correttamente un messaggio di errore presentati in un'altra lingua. E poi, se i falsi positivi fare pop up, mi limiterò a aggiungere altro markup corrispondente è stato trovato in altre parti del documento. Ma non succederà.
Per farla breve, le scansioni ASafaWeb che identificano un prodotto predefinito mancante pagina di reindirizzamento, gli errori personalizzati essendo fuori del tutto o alla localizzazione di essere lasciato inserito (e il gestore Trace.axd essere accessibile), sono ora tutti culturalmente sensibili. Non importa quale lingua il server è in esecuzione sotto, ASafaWeb ora correttamente a dichiarare qualsiasi delle vulnerabilità di configurazione della sicurezza esegue la scansione per.
Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
Nessun commento:
Posta un commento