經得起原始碼資安弱點掃描的程式設計習慣培養(十二)_Data Filter Injection

 




接續前幾篇系列


















Data Filter Injection風險
可能發生問題
攻擊者可能直接存取所有系統的資料。
使用簡單的工具和文字編輯時,攻擊者可以竊取儲存在伺服器中緩存區
(如個人的詳細訊息或信用卡)的任何敏感資訊,並可能更改或刪除隨後被用於其他使用者或依賴安全性決策現有資料。程式臨時的儲存並查詢資料於緩存區中。該應用程序通過簡單的連接字符串包括使用者的輸入建立查詢。由於使用者的輸入包含既沒有檢查資料類型有效性,隨後也未經消毒的命令。



通常也時常發生在
DataTable的Select Filter沒有經過處理


checkmarxC#提供的修正範例


這邊改成Linq語法來避免注入攻擊





最後原來是隻貓不是柴犬






Ref:

[ASP.NET]Data Filter Injection attack



留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header