0
ASP.NET IDを使用するライブASP.NET MVC 5 Webサイトがあります。これはaspnetusersテーブルに対するSQLインジェクション攻撃の犠牲に見えます。 PasswordHash列とSecurityStamp列の両方の値には、隠れたdivタグ内のドラッグサイトへのリンクの形式でHTMLが付加されています(display:none)。AspNetUsersテーブルSQLインジェクション攻撃を防止するには?
これにより、ユーザーが当社のWebサイトにログインできなくなります。
唯一の注意点は、FacebookユーザーがFacebookアカウントを使用して認証されることです。
私はASP.NET MVCとIDにはかなり新しく、私のプロジェクトで提供されている認証コードは本当に変更されていません。将来の攻撃を防ぐために変更できるものはありますか?
最初のステップ:データベースにアクセスしている場所を見つけて、パラメータ化されたクエリを使用します。 –
まず、SQLインジェクション攻撃とはどのようなものだと思いますか?次に、パラメータ化されたクエリ、またはEntity FrameworkなどのORMを使用して、注入ポイントのほとんどを取り除きます。 – DavidG
SQLインジェクション攻撃の結果、コンテンツがデータベースレコードに挿入/追加されたと誤って推測しました。また、Entity Frameworkを使用してIdentityテーブルを操作しています。 – Wombly