Microsoft hat unter der folgenden Adresse als CTP-Version ein Tool für die Code-Analyse zur Verfügung gestellt:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0178e2ef-9da8-445e-9348-c93f24cc9f9d&displaylang=en
Dieses Tool überprüft den Quellcode auf mögliche Schwachstellen in Richtung:
- Cross Site Scripting
- SQL Injection
- Process Command Injection
- File Canonicalization
- Exception Information
- LDAP Injection
- XPATH Injection
- Redirection to User Controlled Site
Nach der Installation steht das Tool im Hauptmenü Tools von Visual Studio zur Verfügung.
Hier ein kleines ASP.NET Quellcode-Beispiel:
<%@ Page Language="C#" ValidateRequest="false" %>
<script runat="server">
protected void Button1_Click(object sender, EventArgs e)
{
string eingabe = TextBox1.Text;
Label1.Text = eingabe;
}
</script>
<html>
<head id="Head1" runat="server">
<title>Untitled Page</title>
</head>
<body>
<form id="Form1" runat="server">
<div>
<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>
<asp:Button ID="Button1" runat="server" Text="speichern"
onclick="Button1_Click" />
<br />
<asp:Label runat="server" id="Label1"></asp:Label>
</div>
</form>
</body>
</html>
Eine Analyse mit CAT.NET bringt das folgende Ergebnis:
Dieses weist uns darauf hin, dass die Zeilen:
string eingabe = TextBox1.Text;
Label1.Text = eingabe;
gegen Cross-Site Scripting nicht geschützt ist!
Durch den Einsatz von Anti-XSS Libary lassen sich dann solche Lücken schliessen.