ASP.Net_SessionId cookie 中 SQL 注入(延迟注入)的预防和原因

Prevention and cause of SQL Injection (Delay Injection) in ASP.Net_SessionId cookie

提问人:user369182 提问时间:5/27/2019 最后编辑:user369182 更新时间:5/31/2019 访问量:366

问:

首先,我对 ASP.Net 很陌生,所以如果问题在这里没有正确编写/传达,请原谅:-)

我们有一个 ASP.NET 网站,我们的一些在线测试人员使用了一些“渗透测试工具”来测试整个网站的SQL注入。

他们提供的结果是,有一些网站的URL存在SQL注入的威胁......例如,对于其中一个 URL,他们提供了 SessionID cookie 可以通过延迟注入(Snap Attached)进行修改。

你们能否让我知道什么会导致延迟注入插入 cookie 以及它的解决方案是什么。

已经非常感谢所有的冠军了。enter image description here

C# asp.net Cookie SQL 注入

评论

0赞 ProgrammingLlama 5/27/2019
这种“攻击”究竟应该达到什么目的?它应该是如何工作的?
1赞 JohanP 5/27/2019
这是一个cookie,它可以被修改,仅仅因为它可以被修改并不意味着它可以神奇地引起攻击,就像你网站上的texbox不会神奇地引起攻击一样。
0赞 user369182 5/27/2019
@JohanP So Is 应该只在我必须使用它时验证/关心它。右?
0赞 JohanP 5/27/2019
是的。关于这个cookie,有一种叫做会话固定攻击的东西,但你提供的代码不会这样做。

答: 暂无答案

上一个:WebResource.axd 和 ScriptResource.axd 检测黑客攻击的预期参数格式?

下一个:SQL Server 2008 中 OFFSET 语句的替代