我开发了一个网站(在asp.net中),它有一个注册页面(不是注册,但它接收人员的详细信息),这实际上是一个教育机构的网站,注册表格适用于想要的人注册组织举办的研讨会。
现在谈到这一点,我正在检查数据库的注册表(数据库在MS Access中),并发现多行包含如下数据:
//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash
//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;
我确信这可能是SQL注入攻击,但不确定,黑客会尝试做什么,如果他成功了 - 那么他会收集什么。还请注意,我该如何处理它。
了解更多信息:
我没有添加像
这样的参数EnableEventValidation="false" ValidateRequest="false"
在aspx页面的页面指令中,默认情况下我认为true
,true
,这有助于此类可能的攻击。
另外值得一提的是,我的OleDbCommand
参数写得像
cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);
答案 0 :(得分:3)
跨站点脚本(XSS)是一种计算机安全性 通常在Web应用程序中发现的漏洞由于违反 浏览器安全性,XSS使攻击者能够注入客户端脚本 进入其他用户查看的网页。
在您的情况下,攻击者希望您在网页上的某些位置显示这些字段,并且由于它们是HTML / Javascript,它们将以攻击者想要的方式显示在浏览器中。
答案 1 :(得分:0)
这不是SQLi攻击 - 数据中没有SQL命令。
但是document.getElementById(varIDCtrlName).value;
,它是有效的javascript代码,所以它看起来像某种脚本攻击。该javascript是无辜的,但如果攻击者可以在稍后作为脚本运行的字段中输入数据,那么这是一个严重的安全威胁。