完全托管的asp.net门户网站中是否存在缓冲区溢出/溢出漏洞。如果是,可以如何测试。
答案 0 :(得分:8)
在一般情况下,您不必担心缓冲区溢出。这是托管代码的主要优点之一,垃圾收集可能是另一个主要优势。
您应该注意一些边缘情况 - 您的托管代码与非托管代码(Win32 API调用,COM互操作,P / Invoke等)交互时,非托管代码中可能存在缓冲区溢出,基于从托管代码传入的参数。
标记为“不安全”的代码也可以直接操作内存地址,从而导致缓冲区溢出。但是,大多数C#代码都是在不使用“unsafe”关键字的情况下编写的。
答案 1 :(得分:7)
除非您利用Web服务器或.NET / ASP.NET堆栈本身。
答案 2 :(得分:0)
我有一个工具(HP Dev Inspect)在我的ASP.NET应用程序中检测到可能的“可能的参数缓冲区溢出”,这是因为我们的一个TextBox中没有MaxLength =“20”...