0

我有一个客户站点,该站点正在吸引大量注册的用户,这些用户显然是伪造的。该站点在 4 页上使用 xmod 表单,但这些表单看起来不受 SQL 注入的影响。我认为这可能是一个跨站点脚本攻击,但不确定可能使用了什么向量。

谁能告诉我或指出 DNN 6 的特定攻击向量的文档,这样我就可以阻止这种疯狂。

谢谢

4

2 回答 2

1

升级到 DNN7?

您确定他们不只是使用自动脚本来注册帐户吗?

安全公告http://www.dnnsoftware.com/Platform/Manage/Security-Center

于 2013-09-12T16:43:11.697 回答
0

根据我的阅读,DNN 团队表示他们不受 SQL 注入的影响,但您必须自己升级或输入代码,因此这取决于站点以及它来自哪一年。

DNN 团队对此问题的官方回应:“最近我们收到了多封电子邮件,他们的网站遭受了 sql 注入,询问 DotNetNuke 是否有任何 sql 注入问题。简短的回答是不。为了使 sql 注入攻击正常工作,代码需要执行动态 sql 即 sql 语句,这些语句通过连接构建并直接针对数据库执行,或者在通过 EXEC 或 sp_execute 执行语句的存储过程中执行。我们避免使用这两种方法,而是仅使用带参数的存储过程,因此 DotNetNuke 和任何核心模块的默认安装都不会受到 sql 注入攻击。”

于 2019-02-03T12:09:36.513 回答