如果我有一个SQL Server数据库的SQL应用程序,是否可以安全地假设如果要进行ASP.NET注入攻击,它将通过SqlCommand类的一个实例?背景:
我所处的情况是,我继承了一个相当大的web应用程序,该应用程序存在一些SQL注入漏洞。我只是通过查看代码中的其他问题找到了几个漏洞,但我想知道,查找所有SqlCommand注入漏洞的安全方法是不是在所有文件中搜索SQL实例,然后检查它们是否为参数化查询。这是一个
浏览 3提问于2012-11-21得票数 20
回答已采纳
2回答
我在一个应用程序上工作,在代码发布到生产之前,Burp工具会对其进行扫描。最近的扫描导致了操作系统注入攻击漏洞。
在做研究时,我看到的唯一的OS注入攻击的例子是unix,java,php应用程序。这些攻击可能针对的是ASP.NET应用程序吗?如果是这样,您如何减轻这种风险?ASP.NET (和/或MVC)本身能防止OS注入攻击吗?
浏览 5提问于2017-01-31得票数 1
我有一些使用易受SQL注入攻击的PHP应用程序的经验,并成功地利用了这种漏洞,但从未尝试在基于ASP的web应用程序上这样做。当我们试图找出PHP应用程序是否容易受到SQL注入的攻击时,通常会在输入参数的末尾添加一个单引号,如下所示:
http://example.com/index.php?下面是我的问题:如果我在一个典型的ASP网页的输入参数的末尾添加一个单引号,然后得到一个空白页或该页面上的一些数据,这是否意味着它容
浏览 0提问于2017-11-19得票数 1
回答已采纳
3回答
我正在寻找ASP.Net中最好的可重用的库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,也易于使用工具来检测这些漏洞,供测试团队使用。您认为什么时候是在开发生命周期中开始将安全编码整合到应用程序中的最佳时机?
浏览 0提问于2010-07-06得票数 3
回答已采纳
是典型ASP代码的静态代码分析器,可以帮助识别可能存在VBScript注入漏洞的页面。这个工具似乎只支持VBscript (“这个工具只理解用vbscript编写的ASP代码”),而且我认为它只支持经典的ASP,即使是VBscript。我想知道是否有类似方法的工具能够处理ASP.NET代码,特别是C# ASP.NET代码。
浏览 0提问于2009-08-05得票数 4
回答已采纳
Web应用程序漏洞和潜在的假阳性
作为渗透测试器,应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段,可能会出现几种不同类型的漏洞。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程
浏览 0提问于2014-10-15得票数 1
2回答
现在,我有兴趣扩展我的知识,并深入了解如何利用常见漏洞(XSS、SQL注入等)。已经完成了。
给您一个易受攻击的测试站点,并指导您(最好是逐个测试)利用其漏洞的过程。如果可能的话,我希望这些资源集中于ASP.NET WebForms和MVC。注意:我不需要测试特定的应用程序,我想要一些资源,让我能够更好地理解这些安全漏洞是如何在网站中创
浏览 1提问于2012-03-21得票数 0
回答已采纳
3回答
我正在学习一门课程,培训师建议在尝试利用这些漏洞之前,先确定影响web应用程序的所有漏洞。虽然我理解识别所有漏洞的必要性,但我不明白为什么要在尝试利用我刚刚发现的漏洞之前(比如sql注入、命令注入、远程文件包含、.)等会儿再来吧?
有理由这样做吗?
浏览 0提问于2016-06-11得票数 2
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
我不能分离OWASP前10名的安全风险,Sql注入是攻击还是漏洞?如果Sql注入是web应用程序攻击类型(以及其他owasp安全风险),那么在哪里可以找到漏洞列表?
浏览 0提问于2017-05-26得票数 -1
回答已采纳
2回答
SQL注入查找器
、、、
最近,一名测试人员在测试应用程序时发现了一个SQL注入漏洞。有没有SQL注入查找器/静态代码分析器可以发现Java代码中的SQL漏洞?
浏览 0提问于2012-09-14得票数 5
回答已采纳
1回答
_Default" %> <div class="form-group" style="margin-top:15px;">
<asp</
浏览 1提问于2021-11-10得票数 0
1回答
Excel导入中的SQL注入漏洞
、、、、
我一直在研究为ASP.NET WebForms应用程序生成的安全报告。我们的代码中的某些区域被认为是潜在的SQL注入漏洞。new OleDbCommand("SELECT * FROM [" + firstSheetName+ "]", conn)) // Offending line of code
为了修复这个SQL注入漏洞有没有人知道如何在不被标记为SQL注入漏洞的情况下执行此操作?我不
浏览 0提问于2016-10-28得票数 4
名为原子轰炸的未修补漏洞能否仅通过执行malicious.exe程序绕过安全系统,或者有多种方法注入恶意代码?用户面临的问题是AtomBombing无法修复--这是Windows的工作方式。由于没有修补程序的机会,解决方案是一些其他形式的缓解。
浏览 0提问于2016-10-30得票数 7
回答已采纳
2回答
CGI程序是用bash编写的:)我将在其中添加一些特性,并向更多的用户公开它,但在此之前,我想对其他需要查看的内容进行一些思考--首先是安全性、漏洞、CGI漏洞和&c。用户不多,但应用程序的性能非常好,并且使用bash编写得非常一致。页面看起来像ASP/JSP/PHP格式,大量使用这里的文档。参数从单独的C程序中推断出来,会话信息存储在DB (MySQL)中,而SQL参数/注入则被正确转义。
我被撕碎了,好像这个堆栈真的需要被去掉吗
浏览 4提问于2009-11-04得票数 0
回答已采纳
我在谷歌搜索"ASP.Net 4.0.30319漏洞“关键字。最后,我在下面的链接中找到了"Microsoft ASP.NET窗体身份验证旁路“:但我不知道如何渗透测试这个漏洞。换句话说,如果有人给我一个由ASP.Net 4.0.30319实现的应用程序,我无法证明存在此漏洞。
浏览 0提问于2014-10-25得票数 -1
我在自己的网站上做了一些渗透测试,并对常见的漏洞进行了大量的研究。
SQL注入出现了很多次,但我想知道,可能会有像python注入这样的东西吗?例如,一个web表单提交了一个值,该值是在某个python后端应用程序中输入到字典中的。如果输入处理不正确,是否有可能在应用程序中注入并执行python代码?是否有一种方法可以轻松、无害地测试该漏洞--如果它确实是一个潜在的漏洞?我似乎找不到很多关于这个话题的网络资源。
浏览 2提问于2016-07-16得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
