Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/csharp/328.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/asp.net/32.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
C# 禁止对web应用程序中的每个请求更改方法_C#_Asp.net_Security_Penetration Testing - Fatal编程技术网
Fatal编程技术网
  • csharp/
  • C# 禁止对web应用程序中的每个请求更改方法

C# 禁止对web应用程序中的每个请求更改方法

c# asp.net security

C# 禁止对web应用程序中的每个请求更改方法,c#,asp.net,security,penetration-testing,C#,Asp.net,Security,Penetration Testing,最近我正在做的一个项目通过了渗透测试。测试人员提供了应用程序中的漏洞列表。有一个漏洞称为更改请求方法。他们提供的说明如下: 我们发现web应用程序中请求的请求方法可以更改,这意味着存在安全风险,并可能导致通过URL传输用户凭据, 从以下几点可以看出: https://example.com/Default.aspx__EVENTTARGET=&__EVENTARGUMENT'=&__LASTFOCUS=&__VIEWSTATE=%2FwEPDwUKLTUxNTc0NjE2

最近我正在做的一个项目通过了渗透测试。测试人员提供了应用程序中的漏洞列表。有一个漏洞称为更改请求方法。他们提供的说明如下:

我们发现web应用程序中请求的请求方法可以更改,这意味着存在安全风险,并可能导致通过URL传输用户凭据, 从以下几点可以看出:

https://example.com/Default.aspx__EVENTTARGET=&__EVENTARGUMENT'=&__LASTFOCUS=&__VIEWSTATE=%2FwEPDwUKLTUxNTc0NjE2QWBAIDD2QWAgIBD2QWBAIBD2QWAgIBD2QWA'mYPZBYGAgEPFgIeBFRleHQFCFVzZXJuYW1lZAIFDw8WBB4MRXJyb3JNZXNzYWdlBRRVc2VybmFtZSBpcyByZXF1aXJlZgVAwEcWAWZkGAEFHl9fQ29udHJvbHNSZXF1aXJlUG9zdEJhY2tLZXlfXxYCB'TtjdGwwMCRDbb2xkZXIxJGN0cmxUaXNMb2dpbiRMb2dpbkZvcm0kUmVtZW1iZXJNZQU8Y3RsMDAkQ29udGVudFBs'YWNlSG9sZJsVGlzTG9naW4kTG9naWrhZiPwphH4RdLXpZiwqV207%2Bw%3D&__VIEWSTAT'EGENERATOR=5812E479&__EVENTVALIDATION=%2FwEWCQK12eq2BgLlo5D%2FCQLps56DBALXz7ynBwLRmcB5As7B2rwIAseu8NIEA'tau8NIEAtmu8NIEUxmKcnm76NwQPNMZulPYvb76nhI%3D&ctl00%24ContentPlaceHolder1%24ctrlMyLogin%24LoginForm%24'UserName=**test.name**%40mysite.com&ctl00%24ContentPlaceHolder1%24ctrlmyLogin%24LoginForm%24Password=**testpassword**'&ctl00%24ContentPlaceHolder1%24ctrlmyLogin%24LoginForm%24LoginButton.x=35&ctl00%24ContentPlaceHolder1%2'4ctrlmyLogin%24LoginForm%24LoginButton.y=13&ctl00%24ctrlFooter%24ctrlLanguageSelector%24ddlLanguages=7
我们建议不允许对web中的每个请求进行方法更改 应用程序

我使用名为“Form Editor”的chrome扩展名复制了该文件,并抛出了一个错误“File Not Found”。我们不支持get请求。我不知道如何防止改变方法

如果没有什么帮助,我们将不胜感激。

在您提供的文章中,它说“如果响应反映了原始请求的响应,那么应用程序很容易受到方法交换的影响。”。我的应用程序并非如此,事实上,“未找到文件”有一个错误。那么,我可以有把握地说我的应用程序不易受到方法交换的攻击吗?我不这么认为,@OP;您应该向测试提供商寻求有关此威胁的其他指导,否则将无法完成此任务。谢谢