明明是 Client 端的 JavaScript，Checkmarx 卻出 JavaScript_Server_Side_Vulnerabilities 的相關 Issues

2021-07-18

前言

Checkmarx 的 Preset 在 JavaScript 是包含 Client 與 Server 端(NodeJS)，
當直接使用預設的 OWASP TOP 10 - 2017 去掃 ASP.NET MVC 專案時，
卻會被掃出 JavaScript\Cx\JavaScript_Server_Side_Vulnerabilities\Stored_XSS 等 NodeJS 的問題。
所以解法之法就是自定 Preset ， Clone 自 OWASP TOP 10 - 2017 ，
並取消勾選 JavaScript_Server_Side_Vulnerabilities 。
自定Preset

more >>

Heap Inspection in ASP.NET Core MVC - byte Array

2021-07-14

前言

在前一篇 Heap Inspection in ASP.NET Core MVC - SecureString 中介紹如何將 string Password 改使用 SecureString 型態。
但是在 .NET Core 並不建議再使用 SecureString 。
所以我們可以改使用 byte[] 來取代。

more >>

Heap Inspection in ASP.NET MVC 5 - SecureString

2021-07-14

前言

ASP.NET MVC 5 的 Login ，通常會接一個 LoginViewModel ，而該 Class 中大多會有 Password 的屬性，如下，

1	public string Password { get; set; }

more >>

Heap Inspection in ASP.NET Core MVC - SecureString

2021-07-14

前言

ASP.NET Core MVC 的 Login ，通常會接一個 LoginViewModel ，而該 Class 中大多會有 Password 的屬性，如下，

1	public string Password { get; set; }

more >>

Heap Inspection in ASP.NET Core Razor Pages - SecureString

2021-07-14

前言

ASP.NET Core Razor Page 建立 Login 頁面時，PageModel 上大多會有 Password 的屬性，如下，

1
2
3

[Required]
[BindProperty, DataType(DataType.Password)]
public string Password { get; set; }

more >>

透過 AsyncResultFilter 來處理 Entity Mapper 成 DTO

2021-07-11

前言

一般來說，在 Controller 中透過 Repository 取回 Entity 的資料後，會再透過 Mapper 來將它轉成 DTO 傳給 Client 。例如，

[HttpGet]
public IActionResult GetBooks()
{
    var bookEntities =  _bookRepository.GetBooksAsync().Result;
    //這段從 Entity 轉成 DTO 經常寫在 Action 中
    var books = _mapper.Map<IEnumerable<Models.Book>>(bookEntities);
    return Ok(books);
}

more >>

System.Text.Json.Deserialize<TValue> 轉回的物件值都是 null

2021-07-03

前言

透過 HttpClient 取得別的 API 結果 Json 字串後，要透過 JsonSerializer.Deserialize 轉回時，
發生該物件的屬性值都為 null 。這是為什麼呢?

more >>

Checkmarx Dangerous_File_Upload

2021-06-30

前言

最近系統透過 Checkmarx 掃描時，有掃出 Dangerous_File_Upload 的 issue。
主要是針對上傳檔案時，要對它進行檔案的驗證。例如，

more >>

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true