1

我们有一个 MVC 5 站点,目前我们正在为我们的 css 和 java 脚本使用捆绑包,这一切都很好。问题是这样做时,它会创建类似:

/bundles/stylesheet?v=_NMyDE-CcoALPkYZqbmiXkI3LfoWnS1GFeEZNVMaBT81

我们还使用第三方网站来验证我们的网站是否受信任和安全,前几天它向我们标记了这样一个事实,即使用上面的 '+and+'b'<'a 最后返回 200 响应而不是 a 500。

所以我想我有两个问题,这是 MVC 捆绑包中易受 SQL 注入影响的安全漏洞吗?如果是,是否有解决方法或修复方法?

4

1 回答 1

4

vWeb 请求中发送的参数仅用作帮助浏览器知道何时请求新资源的一种方式——通常称为“缓存清除”。MVC 在捆绑链接中放入的数量会在捆绑中使用的文件发生更改时更改,但在发出实际请求时,服务器甚至根本不会关注参数。

因此,审计软件会看到一种模式,表明它可以向服务器发送“任何东西”,并且永远不会检查它是否有效。在某些情况下,这可能表明他们的 sql 注入“通过了”,但在这种情况下,这是误报。

捆绑框架根本不涉及 SQL,因此这绝对不能代表 SQL 注入漏洞。

有关详细信息,请参阅本文的“捆绑缓存”部分。

于 2014-08-04T17:05:43.310 回答