經得起原始碼資安弱點掃描的程式設計習慣培養(七)_Code Injection

 







近期在修正CheckMarx風險時候踏到一個
比較陌生沒看過的項目Code Injection


果真也是源自於Invoke 的 參數值是來自 Client Request送來的資料。

由於後來資料是卡在Url內容丟給一隻Web Service經過
CodeDom 去Compile出Client端後發送
(透過webservice來間接寄信)



就暫時針對其進行UrlEncode

#更
2021/9/17 可能要將程式中有透過.Invoke跟MethodInfo反射的寫法改寫避免透過這類寫法
後來改為SmtpClient來寄信了








Ref:
Code_Injection

How To: Protect From Injection Attacks in ASP.NET



留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

(2021年度)駕訓學科筆試準備題庫歸納分析_法規是非題