Warning: file_get_contents(/data/phpspider/zhask/data//catemap/6/asp.net-mvc-3/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Asp.net mvc 3 解决渗透问题_Asp.net Mvc 3_Security_Penetration Testing - Fatal编程技术网
Fatal编程技术网

Asp.net mvc 3 解决渗透问题

asp.net-mvc-3 security

Asp.net mvc 3 解决渗透问题,asp.net-mvc-3,security,penetration-testing,Asp.net Mvc 3,Security,Penetration Testing,我有这个函数来计算数据库中管理员用户的数量,ConnexionString是连接到数据库的字符串:(检查他是否可以添加新管理员的计数) 在asp页面中: <script type="text/javascript"> var erreur = $("#Message").val(); if (erreur.length > 0) { jAlert(error, 'Error', false); } </script>

我有这个函数来计算数据库中管理员用户的数量,ConnexionString是连接到数据库的字符串:(检查他是否可以添加新管理员的计数)

在asp页面中:

<script type="text/javascript">
var erreur = $("#Message").val();

if (erreur.length > 0) {
    jAlert(error, 'Error', false);
}
</script>


var erreur=$(“#消息”).val();
如果(错误长度>0){
jAlert(错误,'错误',错误);
}
我收到了这样的投诉:(由IBM Security AppScan测试)

盲SQL注入严重性:高

实体:消息(参数)

风险:您可以查看、编辑或删除数据库条目和表

原因:未正确执行危险字符的更正

差异:参数被操纵

from:你达到了管理员的最大值

到:%27++%2B+ltrim%28%27%27%29++%2B++%27您+达到了++++Admin的+max+!21%

我能修好吗

“对危险字符的更正没有正确执行”给了我一个谷歌关键词:这个问题。你翻译了吗?您使用的是什么工具,它到底在测试什么,它是如何做到的,它的声明是否正确?@CodeCaster抱歉,我收到了客户的投诉(我不知道他使用的是什么应用程序),看起来可能是AppScan。。在国际海事组织看来,这个问题似乎是一个误判。输入“You reach the max of Admin!”没有问题,如果您是从用户输入构建此文件,您将希望对其进行清理,这就是错误警告的内容。但是既然你没有这么做,这真的是个问题吗?然后试着问客户这个问题。我们无法从这段代码和那个错误看出问题所在。我在函数中没有看到用户输入(do
Level.Admin
ActiveUser.ConnexionString
来自何处,以及
CountUsers()
方法是什么样子的?)也没有显示表结构或输出任意记录的输出。消息是否保存在服务器上?看起来,如果他们更改了消息的值,它将保存在服务器上,并且他们可以将值从保存到。看起来这个错误/问题是由其他地方引起的。 
<script type="text/javascript">
var erreur = $("#Message").val();

if (erreur.length > 0) {
    jAlert(error, 'Error', false);
}
</script>