Estoy enfrentando una vulnerabilidad XSS en mi aplicación web ASP.Net donde el código malicioso puede estar encriptado y codificado en HTML. >
Pregunta : Ya sé que tengo que usar HtmlDecode de todos modos. ¿Hay una manera de descifrar y luego Html descodificar dichos datos en ASP.Net?
Primero : Base64 NO es un algoritmo de cifrado. Es un mecanismo de codificación, es decir: cualquiera puede decodificar sus datos codificados.
En segundo lugar : si te enfrentas a XSS en tu aplicación ASP, significa que no estás limpiando correctamente una entrada influenciada por el usuario. Deberá proporcionarnos más detalles sobre el fragmento de código que está influenciado por el usuario, pero en general. necesitas codificar todas las entradas en html. Es decir:
" ----> "
' ----> '
< ----> <
> ----> >
En ASP, simplemente puede utilizar Server.HTMLEncode(string) para codificar en HTML su entrada influenciada por el usuario.
Recordar XSS también puede activarse a partir de entradas almacenadas, ¡así que también necesitarás desinfectarlas!
La ofuscación solo te llevará hasta ahora. Tendrás gente que se rendirá porque es difícil, y a algunos les gustará el desafío. El problema con la ofuscación es que atraerás a este último, ya que estás intentando activamente evitar que suceda sin realmente solucionar el problema.
Para ser realmente anal al respecto, no estás "previniéndolo", lo estás haciendo más difícil. Es como poner la llave de una puerta debajo de un tapete en lugar de una roca falsa.
Lea otras preguntas en las etiquetas encryption xss