MS Web Protection Library

Já está disponível há algum tempo mas, confesso-o, ainda não conhecia. Para avaliarem e integrarem, se for adequada, nos vossos projectos de desenvolvimento:

A Microsoft Web Protection Library (WPL) é uma colecção de assemblies .NET que irá ajudá-los a proteger os vossos websites, os actuais, os futuros, e os mais antigos. A WPL inclui:
  • AntiXSS. Fornece uma miríade de funções de codificação para dados introduzidos pelos utilizadores, incluindo HTML, atributos HTML, XML, CSS e JavaScript; e
  • Security Runtime Engine. Fornece um wrapper para pôr em torno dos vossos websites, garantindo que vectores de ataque comuns não chegam às vossas aplicações. A protecção actua contra Cross-Site Scripting e SQL Injection.
Tal como em toda a segurança web, a WPL é parte de uma estratégia de defesa em profundidade, adicionando uma camada extra a quaisquer práticas de validação e codificação segura que tenham adoptado.

Duas notas finais: (i) Apesar de ser uma solução Microsoft, é um projecto opensource; e (ii) Ainda não conheço os detalhes desta coisa mas, parece-me, é uma solução que vale a pena experimentar. Porquê? Porque vem directamente da empresa que fornece a própria framework — .NET — e que conhece muito bem, infelizmente para ela própria, as classes de ataques que procura, com a WPL, neutralizar.

Está disponível por aqui: wpl.codeplex.com.