0

我开发了一个网站(在 asp.net 中),它有一个注册页面(不是注册,但它接收人员详细信息),这实际上是一个教育组织的网站,注册表单是为想要注册的人准备的该组织举办的研讨会。

现在说到重点,我正在检查数据库的注册表(数据库在 MS Access 中),发现多行数据如下:

//In Residential Address field
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash

//In Field to store workshop id, for which the person want to register for, the data was
document.getElementById(varIDCtrlName).value;

我确信这可能是 SQL 注入攻击,但不确定黑客会尝试做什么,如果他成功了 - 那么他会收集什么。还请提一下,我该如何处理。

了解更多信息:

我没有添加类似的参数

EnableEventValidation="false" ValidateRequest="false"

在 aspx 页面的 page 指令中,我猜是true默认的,虽然它是true,但有助于这种类型的可能攻击。还有一点值得一提的是, myOleDbCommand的参数写成

cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress);
4

2 回答 2

3

那就是跨站脚本

跨站点脚本 (XSS) 是一种通常在 Web 应用程序中发现的计算机安全漏洞。由于浏览器安全漏洞,XSS 使攻击者能够将客户端脚本注入到其他用户查看的网页中。

在您的情况下,攻击者希望您在网页的某个位置显示这些字段,并且由于它们是 HTML/Javascript,它们将以攻击者想要的方式显示在浏览器中。

于 2013-01-09T07:03:11.923 回答
0

这不是 SQLi 攻击 - 数据中没有 SQL 命令。

但是document.getElementById(varIDCtrlName).value;,它是有效的 javascript 代码,因此看起来像是某种脚本攻击。该 javascript 是无辜的,但如果攻击者可以在稍后作为脚本运行的字段中输入数据,那将是严重的安全威胁。

于 2013-01-09T07:03:18.537 回答