Ciao a tutti,
stavo cercando un po' di documentazione per proteggere le pagine dal code injection. Quello che ho trovato è relativo alla sola iniezione di codice html e javascript: quello che volevo sapere è se è possibile iniettare anche codice ASP o comunque codice che possa in qualche modo compromettere la sicurezza del server (trascuriamo le sql injection ben documentate sul web).
Grazie,
Matteo
non so se si può o se esiste la possibilità però ti basta fare un replace per i caratteri " <% e %>" e sei a posto
almeno credo
ciao
Mi sa che l'injection di codice asp non sia possibile.
Se in una form scrivi del codice asp e questo viene scritto runtime su una pagina asp arriverà del semplice testo innocuo.
Un'altra cosa: non è possibile che le injection cambino le pagine originali? Nel senso che il codice che eventualmente viene inserito, si trova su DB o file di testo, ma non è la pagina originale ASP che viene modificata. E' corretto?
Non viene modificato nulla.Originariamente inviato da Teo80
Un'altra cosa: non è possibile che le injection cambino le pagine originali? Nel senso che il codice che eventualmente viene inserito, si trova su DB o file di testo, ma non è la pagina originale ASP che viene modificata. E' corretto?
Al limite quando leggi i dati dal db prima di scriverli sulla pagina runtime, falli passare dalla funzione server.HTMLEncode
Permessi di invio
Rispondi quotando