Ett annat XSS-testverktyg är OWASP CAL9000 med öppen källkod, som är helt gratis och nedladdningsbar från www.digilantesecurity.com/CAL9000. Jag tyckte att det var komplicerat att använda och dess användargränssnitt visades inte korrekt i vissa webbläsare jag använder, men jag blev bortskämd med att använda Acunetix först. Acunetix är det bättre verktyget och är betydligt mer automatiserat, eftersom det kommer att genomsöka en webbplats som följer länkar och försöker en rad attacker. Resultaten lagras i en databas, så att du kan starta om attacken manuellt senare – mycket användbart för att testa ändringar du har gjort på dina sidor och spara den tid det tar att göra en fullständig genomsökning efter varje ändring. Programvaran ger också massor av information om formen av attacken, vilket hjälper när man bestämmer sig för hur den ska stoppas. Den kostnadsfria licensen tillåter inte att du testar webbplatser som inte tillhör dig, även om skrupelfria användare kan använda den för att hitta sårbara webbplatser (vilket inte borde oroa dig eftersom din inte är sårbar, eller hur?)
Dålig matsmältning
För att hålla sig på temat säkerhet, insisterar många Internetbetalningsleverantörer nu på att tidigare frivilliga säkerhetsåtgärder blir obligatoriska, främst för att förhindra XSS-attacker. Den senaste IPP för att upprätthålla detta är SecPay, nu en del av Pay Point. Med varje kreditkortstransaktion måste du nu skicka ett ”sammandragsvärde” – en sträng som innehåller transaktionsnumret kombinerat med beloppet plus ett privat nyckelvärde, hela partiet krypterat med MD5 och skickat till Pay Point. Din privata nyckel har tidigare registrerats hos företaget och därför kan dess system avkoda detta ”sammandragsvärde” och kontrollera att transaktionsnumret och beloppen överensstämmer: om inte, misslyckas transaktionen. Koden för att implementera detta är inte svårt och det tog mig ungefär en timme, inklusive testning, att implementera och informera Pay Point om den privata nyckeln. MD5-krypteringsrutiner är tillgängliga gratis för alla språk, och en enkel webbsökning bör hitta en du kan använda.
Det var dock inte så lätt när vi kom att implementera förändringarna i Actinic, som vi använder för ett par nätbutiker. Eftersom ”digest”-nyckeln inte längre är valfri, var det här som problemen började, eftersom Actinic Payment Provider-modulen för SecPay inte stöder sammanfattningsnyckeln. När man tittar på sitt forum verkar det som att Actinic inte ser det som sitt problem utan SecPays, vilket inte är särskilt användbart. Jag mailade Actinic support och fick samma svar, och eftersom jag var tvungen att komma på en lösning tog jag bort SecPay som betalningsmetod från mina butiker och la till PayPal tills en lösning erbjuds.
Saknade tips
All denna redigering av äldre sajter fick mig att prova den normalt sett utmärkta Visual Studio 2008 för att redigera och testa lite ASP-kod. Den här koden var inte ASP.NET utan den före .NET-versionen, och jag blev chockad över att se att all intelligens och kodtips saknades för ASP, vilket gjorde Visual Studio 2008 till lite mer än ett stort anteckningsblock för ASP-projekt! En grävning i forumen visade att detta var korrekt beteende, men vad de tänkte på är inte klart. Det enda förslag jag kunde hitta från Microsoft var att använda Visual Studio 2005 också, vilket är okej om det installeras först. Om du försöker installera det efter 2008 års version, kommer du att hitta många av .NET-filassociationerna som pekar mot Visual Studio 2005. Naturligtvis kan du installera om Visual Studio 2008 efter att du har installerat 2005, och det kommer att fixa dessa föreningar – du behövde trots allt inte få något riktigt jobb gjort den här veckan, eller hur?
