我正在使用ASP.Net MVC 4并像这样创建模型和验证
[Required]
[Display(Name = "Full Name")]
[StringLength(50)]
[RegularExpression("^[a-zA-Z0-9 -']+$", ErrorMessage = "Invalid {0}")]
public String FullName { get; set; }
在clint方面正确验证。
我已经在检查
了if(!ModelState.IsValid)
return View(Model);
但在使用IBM AppScan进行验证时,它会像John' or 1 = 1 --一样直接发布数据,并显示Blind Sql Injection问题。
调试代码并尝试将全名值更改为John' or 1 = 1 --,并且ModelState仍然显示有效。
我想在控制器中验证模型RegEx,有没有办法在控制器中验证它?
答案 0 :(得分:0)
盲目的SQLi测试通常很受欢迎。错过了自动化应用程序安全测试工具。尝试使用Blind SQLi问题上的单个线程在appscan中进行重新测试,看看它是否只是作为误报被删除。