我最近收到了一个用户尝试使用有效的随机生成的密码登录的错误电子邮件,该密码似乎有一些unicode。
从中检测到一个潜在危险的Request.Form值 客户(密码=“zG& 2&#8W”)
如何解决此问题以允许提交而不关闭验证并将网站打开到注入攻击?
这是针对AD域进行身份验证的。虽然此系统在互联网上可用,但访问仅限于域用户。
注册和更改密码选项由我无法更改的系统处理,因此我无法阻止& # 要么 ;从使用密码。
这是一个密码字段意味着我不能简单地在提交之前替换有问题的字符,因为它不会进行身份验证。
用户已更改密码,因此迫切需要消失,但我仍需要解决此问题,以便将来不再发生。