我们有一个使用ASP.NET身份的实时ASP.NET MVC 5网站。它似乎是aspnetusers表上SQL注入攻击的受害者。 PasswordHash和SecurityStamp列值都附加了HTML - 以隐藏div标签内的药物站点链接的形式显示(显示:无)。
这会阻止任何用户登录我们的网站。
唯一需要注意的是,我们允许Facebook用户使用他们的Facebook帐户进行身份验证。
我是ASP.NET MVC和Identity的新手,并且还没有真正修改过我项目中提供的任何授权代码。有什么我可以修改以防止未来的攻击吗?
答案 0 :(得分:0)
使用相同的连接字符串在其他网站中发现了漏洞。参数化查询是解决方案。