Dotnetnuke dnn6中的SQL注入攻击
我有一个客户端站点,它注册了大量显然是伪造的用户。该网站在4页上使用xmod表单,但这些表单看起来不受SQL注入的影响。我认为这可能是一个跨站点脚本攻击,但不确定使用了什么向量 有谁能告诉我或者给我指一下DNN 6的特定攻击向量的文档,这样我就可以停止疯狂了 谢谢升级到DNN7 你确定他们不只是使用自动脚本注册帐户吗 安全公告据我所知, DNN团队表示,他们对SQL注入免疫,但您必须自行升级或输入代码,因此这取决于网站以及从哪一年开始 DNN团队对此问题的正式回应:Dotnetnuke dnn6中的SQL注入攻击,dotnetnuke,dotnetnuke-6,Dotnetnuke,Dotnetnuke 6,我有一个客户端站点,它注册了大量显然是伪造的用户。该网站在4页上使用xmod表单,但这些表单看起来不受SQL注入的影响。我认为这可能是一个跨站点脚本攻击,但不确定使用了什么向量 有谁能告诉我或者给我指一下DNN 6的特定攻击向量的文档,这样我就可以停止疯狂了 谢谢升级到DNN7 你确定他们不只是使用自动脚本注册帐户吗 安全公告据我所知, DNN团队表示,他们对SQL注入免疫,但您必须自行升级或输入代码,因此这取决于网站以及从哪一年开始 DNN团队对此问题的正式回应: “最近,我们收到了许多电子邮
“最近,我们收到了许多电子邮件给security@dotnetnuke.com用户的站点的别名遭受sql注入的困扰,询问DotNetNuke是否存在任何sql注入问题。简短的回答是否。sql注入攻击通常需要执行动态sql,即通过concat构建的sql语句直接针对数据库或通过EXEC或sp_execute执行语句的存储过程执行。作为一项政策,我们避免使用这两种方法,而只使用带参数的存储过程,因此DotNetNuke和任何核心模块的默认安装不易受sql注入的影响“攻击。”是的,升级不是我的要求,但有人建议升级。我相当肯定这不是一个自动脚本,因为用户没有任何角色——绝对没有。