0

私は(asp.netで)Webサイトを開発しましたが、実際には教育機関のサイトである登録ページ(サインアップではありませんが、人々の詳細を受け取ります)があり、登録フォームは登録したい人のためのものです組織が主催するワークショップ。

ここで、データベースの登録テーブル(データベースはMS Accessにあります)を確認していたところ、次のようなデータを持つ複数の行が見つかりました。

//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash

//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;

SQLインジェクション攻撃の可能性があると確信していますが、ハッカーが何をしようとしたか、そして成功した場合は何を収集したかはわかりません。また、どのように処理するかについても言及してください。

詳細については:

私は次のようなパラメータを追加していません

EnableEventValidation="false" ValidateRequest="false"

trueaspx pageのpageディレクティブでは、デフォルトであったと思いますがtrue、このタイプの攻撃の可能性を支援します。そして、言及する価値のあるもう1つのことは、私OleDbCommandのパラメータが次のように記述されていることです。

cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);
4

2 に答える 2

3

それがクロスサイトスクリプティングです

クロスサイトスクリプティング(XSS)は、Webアプリケーションに通常見られる一種のコンピューターセキュリティの脆弱性です。ブラウザのセキュリティが侵害されたため、XSSを使用すると、攻撃者は他のユーザーが表示するWebページにクライアント側のスクリプトを挿入できます。

あなたの場合、攻撃者はあなたがあなたのウェブページのどこかにそれらのフィールドを表示することを期待しています、そしてそれらはHTML / Javascriptなので、攻撃者が望む方法でブラウザに表示されます。

于 2013-01-09T07:03:11.923 に答える
0

これはSQLi攻撃ではありません。データにSQLコマンドはありません。

ただしdocument.getElementById(varIDCtrlName).value;、これは有効なjavascriptコードであるため、ある種のスクリプト攻撃のように見えます。そのjavascriptは無実ですが、攻撃者が後でスクリプトとして実行されるフィールドにデータを入力できる場合、それは重大なセキュリティ上の脅威です。

于 2013-01-09T07:03:18.537 に答える