web.config にある configuration/system.web/authentication/forms 要素の cacheRolesInCookie 属性が true に設定されている場合、各ユーザーのロールは cookie にキャッシュされます。この情報が平文で保存されていると、アプリケーションとの対話に使用されるマシンにアクセスできる人であれば、誰でも cookie に保存されている情報にアクセスできます。さらに、攻撃者が cookie に保存されているデータを任意に変更することを許可されている場合、攻撃者はアプリケーションに提供された情報を改ざんし、その動作を思いどおりに変更できてしまいます。

多くの場合、アプリケーションは cookie からの入力を、使用されるコンテキストに応じてプログラミングで検証できますが、ASP.NET の検証フレームワークは、cookie に想定外の変更が加えられていないことを確認するための優れた手法を提供します。このアプローチがなければ、すべての入力が検証されていることを高いレベルの信頼性で確立することは困難であり、多くの場合不可能です。

ASP.NET Web サービスは、Web サービスとの通信方法を説明するドキュメントを自動的に生成することにより、Web サービス クライアントの開発を容易にします。

ドキュメント プロトコルが有効になっている Web サービスは、ブラウザーのリクエストを受信すると HTML 形式のページを生成します。

この HTML 形式のページでは、次の情報について説明しています。
1.サポートされている操作
2.各操作が受け入れるパラメーター
3.これらのパラメーターで渡される必要があるデータのタイプ

ドキュメント プロトコルは、XML 形式の Web サービス記述言語 (WSDL) ファイルも生成します。このファイルは、アプリケーションが Web サービスへのリクエストを構造化する方法を理解できるように設計されています。この情報は、開発者、特にパブリック Web サービスのクライアントを作成する開発者にとって非常に役立ちます。しかし、プライベート Web サービスの機能に関する詳細情報を公開すると、悪意のある攻撃者が Web サービスを悪用するリスクが高まります。ドキュメント プロトコルは、Web サービスのすべての関数とパラメーターを必ず記述します。これは、それらの関数のサブセットのみをパブリック アクセス可能にすることが意図されている場合も同じです。

ASP.NET アプリケーションを、フレームワークのデフォルトのページではなく、カスタム エラー ページを使用するように設定する必要があります。デフォルトのエラー ページには発生したエラーに関する詳細情報が表示されるため、実運用環境では使用しないでください。mode 属性 (<customErrors> タグの属性) は、カスタムとデフォルトのどちらのエラー ページを使用するかを定義します。

攻撃者は、デフォルトのエラー ページから得た追加情報を利用して、フレームワークやデータベースなど、アプリケーションで使用されるリソースを標的に攻撃を仕掛けることがあります。

デフォルトでは、ASP.NET は、ペイロード (ViewState、FormsAuth cookies、ScriptResource.axd URL など) を復号化する前に暗号シグネチャを内部的に検証し、得た値をアプリケーションに渡してさらに処理します。ただし、この機能を aspnet:UseLegacyEncryption 設定を使用して変更し、ペイロードを復号化する前に暗号シグネチャの検証を無効にすることが可能です。これにより、悪意のあるクライアントが暗号化されたデータを復号化、偽造、または改ざんする可能性があります。

例 1: 次の例では、aspnet:UseLegacyEncryption が true に設定されています。

...
  <appSettings>
    <add key="aspnet:UseLegacyEncryption" value="true" />
  </appSettings>
...

ASP.NET アプリケーションは、ユーザー名とパスワードのペアを、ASP.NET アプリケーションの web.config ファイルにある <credentials> 要素に格納できます。パスワード形式は、平文、MD5、および SHA1 がサポートされます。

平文または弱い暗号化アルゴリズムを使用して保存されたパスワードは、アプリケーションの設定ファイルにアクセスできる人なら誰でもアクセスできます。これには、アプリケーションがホストされているマシンや、アプリケーションがあるソース コード リポジトリなどが含まれます。

例 1: 以下の web.config エントリは、パスワードを誤って平文で保存しています。

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET は、configuration/system.web/authentication/forms/credentials 要素の passwordFormat 属性で指定される、3 つの形式で保存された資格情報パスワードをサポートしています。この属性に使用できる値は次のとおりです。

Clear - パスワードが平文で保存されていることを示します (最も安全性が低い)
MD5 - パスワードの MD5 ハッシュが保存されていることを示します
SHA1 - パスワードの SHA1 ハッシュが保存されていることを示します (最も安全性が高い)

MD5 ハッシュは平文よりも安全ですが、研究者によると、MD5 ハッシュ アルゴリズムに対するブルートフォース攻撃も発見されています。現時点で、SHA1 ハッシュは、引き続きこのような攻撃に対して適切な保護を提供しています。

入力の未検証は、ASP.NET アプリケーションの脆弱性の主な原因です。入力の未検証は、Cross-Site Scripting、Process Control、SQL Injection など、さまざまな脆弱性の原因となる可能性があります。

このような攻撃を防ぐには、ASP.NET 検証フレームワークを使用して、アプリケーションで処理される前にすべてのプログラム入力をチェックします。

この検証フレームワークの使用例として、次の内容を確認するためのチェックがあります。

- 電話番号フィールドには、電話番号に有効な文字のみが含まれている。

- ブール値は T または F のみである。

- 自由形式の文字列が適度な長さと設定になっている。

web.config にある configuration/system.web/authentication/forms 要素の cacheRolesInCookie 属性が true に設定されている場合、各ユーザーのロールは cookie にキャッシュされます。この情報が平文で保存されていると、アプリケーションとの対話に使用されるマシンにアクセスできる人であれば、誰でも cookie に保存されている情報にアクセスできます。さらに、攻撃者が cookie に保存されているデータを任意に変更することを許可されている場合、攻撃者はアプリケーションに提供された情報を改ざんし、その動作を思いどおりに変更できてしまいます。

多くの場合、アプリケーションは cookie からの入力を、使用されるコンテキストに応じてプログラミングで検証できますが、ASP.NET の検証フレームワークは、cookie に想定外の変更が加えられていないことを確認するための優れた手法を提供します。このアプローチがなければ、すべての入力が検証されていることを高いレベルの信頼性で確立することは困難であり、多くの場合不可能です。