Heap Inspection in ASP.NET Core Razor Pages - SecureString

前言

ASP.NET Core Razor Page 建立 Login 頁面時,PageModel 上大多會有 Password 的屬性,如下,

1
2
3
[Required]
[BindProperty, DataType(DataType.Password)]
public string Password { get; set; }

程式透過 Checkmarx 掃過後,就會說它有 Heap Inspection 的問題,直指向 string Password ,如下,

解法

傳統的做法,我們需要將 string Password 改成 SecureString Password 。
可是頁面傳上來的值卻是 string ,要如何處理呢?
這時就需要透過 Model Binder 來幫忙將 string 轉成 SecureString 。
所以我們先建立 SecureString 的 Extend Methods 來幫忙轉換,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
//using System.Security;
public static class SecureStringExtension
{
    public static SecureString ToSecureString(this char[] self)
    {
        var secureString = new SecureString();
        foreach (char c in self)
        {
            secureString.AppendChar(c);
        }
        return secureString;
    }

    public static SecureString ToSecureString(this string self)
    {
        var secureString = new SecureString();
        char[] chars = self.ToCharArray();
        foreach (char c in chars)
        {
            secureString.AppendChar(c);
        }
        return secureString;
    }

    public static string ToText(this SecureString self)
    {
        IntPtr bstr = Marshal.SecureStringToBSTR(self);
        try
        {
            return Marshal.PtrToStringBSTR(bstr);
        }
        finally
        {
            Marshal.FreeBSTR(bstr);
        }
    }
}

建立 SecureStringModelBinder 來將 string 轉成 SecureString ,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public class SecureStringModelBinder : IModelBinder
{
    public Task BindModelAsync(ModelBindingContext bindingContext)
    {
        if (bindingContext == null)
        {
            throw new ArgumentNullException(nameof(bindingContext));
        }
        //Get the inputted value through the value provider
        var value = bindingContext.ValueProvider
                    .GetValue(bindingContext.ModelName).ToString();
        bindingContext.Model = value.ToSecureString();
        //return a successful result, passing in the Model
        bindingContext.Result = ModelBindingResult.Success(bindingContext.Model);
        return Task.CompletedTask;
    }
}

再來只需要在 SecureString Password 屬性上設定 BinderType 為 typeof(SecureStringModelBinder) 就可以了,如下,

1
2
3
4
[Required]
[BindProperty, DataType(DataType.Password)]
[ModelBinder(BinderType =typeof(SecureStringModelBinder))]
public SecureString Password { get; set; }

而在 Service 的 Method 中,如果需要將它轉回 string 比較的話,就再呼叫 ToText() 即可。

參考資料

Implementing a Custom Model Binder In Razor Pages

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw