Asp.net mvc 3 解决渗透问题
我有这个函数来计算数据库中管理员用户的数量,ConnexionString是连接到数据库的字符串:(检查他是否可以添加新管理员的计数) 在asp页面中:Asp.net mvc 3 解决渗透问题,asp.net-mvc-3,security,penetration-testing,Asp.net Mvc 3,Security,Penetration Testing,我有这个函数来计算数据库中管理员用户的数量,ConnexionString是连接到数据库的字符串:(检查他是否可以添加新管理员的计数) 在asp页面中: <script type="text/javascript"> var erreur = $("#Message").val(); if (erreur.length > 0) { jAlert(error, 'Error', false); } </script>
<script type="text/javascript">
var erreur = $("#Message").val();
if (erreur.length > 0) {
jAlert(error, 'Error', false);
}
</script>
var erreur=$(“#消息”).val();
如果(错误长度>0){
jAlert(错误,'错误',错误);
}
我收到了这样的投诉:(由IBM Security AppScan测试)
盲SQL注入严重性:高
实体:消息(参数)
风险:您可以查看、编辑或删除数据库条目和表
原因:未正确执行危险字符的更正
差异:参数被操纵
from:你达到了管理员的最大值
到:%27++%2B+ltrim%28%27%27%29++%2B++%27您+达到了++++Admin的+max+!21%
我能修好吗 “对危险字符的更正没有正确执行”给了我一个谷歌关键词:这个问题。你翻译了吗?您使用的是什么工具,它到底在测试什么,它是如何做到的,它的声明是否正确?@CodeCaster抱歉,我收到了客户的投诉(我不知道他使用的是什么应用程序),看起来可能是AppScan。。在国际海事组织看来,这个问题似乎是一个误判。输入“You reach the max of Admin!”没有问题,如果您是从用户输入构建此文件,您将希望对其进行清理,这就是错误警告的内容。但是既然你没有这么做,这真的是个问题吗?然后试着问客户这个问题。我们无法从这段代码和那个错误看出问题所在。我在函数中没有看到用户输入(do
Level.Admin
和ActiveUser.ConnexionString
来自何处,以及CountUsers()
方法是什么样子的?)也没有显示表结构或输出任意记录的输出。消息是否保存在服务器上?看起来,如果他们更改了消息的值,它将保存在服务器上,并且他们可以将值从保存到。看起来这个错误/问题是由其他地方引起的。
<script type="text/javascript">
var erreur = $("#Message").val();
if (erreur.length > 0) {
jAlert(error, 'Error', false);
}
</script>