我们有一个MVC 5站点,目前我们正在使用我们的css和java脚本的捆绑包,这些都运行得很好。问题在于,当这样做时,它会产生类似:
/捆绑/样式表?V = _NMyDE-CcoALPkYZqbmiXkI3LfoWnS1GFeEZNVMaBT81
我们还使用第三方网站来验证我们的网站是否值得信任和安全,前几天它标记了我们使用上述' +和+' b'< ;'最后返回200响应而不是500响。
所以我想我有两个问题,这是MVC捆绑包中的安全漏洞,容易受到SQL注入的影响吗?如果有,是否有解决方法或修复方法?
答案 0 :(得分:4)
该Web请求中发送的v参数仅用于帮助浏览器知道何时请求新资源 - 通常称为"缓存清除。" MVC在捆绑链接中放置的数量将随着捆绑中使用的文件的更改而改变,但是在提出实际请求时,服务器甚至根本不关注参数。
正因为如此,审计软件看到了一种模式,表明它可以发送任何东西"到服务器,它永远不会被检查,看它是否有效。在某些情况下,这可以表明他们的sql注入已经通过,"但在这种情况下,这是误报。
捆绑框架根本不触及SQL,所以绝对没有办法表示SQL注入漏洞。
有关详细信息,请参阅"捆绑缓存" this article的一部分。