DNN 6中的SQL注入攻击
我有一个客户端网站,它得到了大量的用户注册,这显然是假的。该站点在4个页面上使用xmod表单,但这些表单看起来不会受到SQL注入的影响。我认为这可能是一次跨站点脚本攻击,但不确定可能使用了什么向量。
有没有人可以告诉我或者告诉我DNN 6的特定攻击载体的文档,这样我就可以停止疯狂了。
谢谢
回答 2
Stack Overflow用户
发布于 2013-09-13 00:43:12
升级到DNN7?
您确定他们不是在使用自动脚本注册帐户吗?
安全公告http://www.dnnsoftware.com/Platform/Manage/Security-Center
Stack Overflow用户
发布于 2019-02-03 20:09:37
据我所知,DNN团队说他们对SQL注入是免疫的,但你必须自己升级或输入代码,所以这取决于网站和年份。
DNN团队对此问题的官方回应:“最近,我们收到了许多来自security@dotnetnuke.com别名的电子邮件,这些用户的网站受到sql注入的影响,询问DotNetNuke是否有任何sql注入问题。简短的回答是否定的。要使sql注入攻击起作用,代码通常需要执行动态sql,即通过连接构建的sql语句,并直接针对数据库执行,或者在通过EXEC或sp_execute执行语句的存储过程中执行。作为一个政策问题,我们避免使用这两种方法,而只使用带有参数的存储过程,因此DotNetNuke和任何核心模块的默认安装都不容易受到sql注入攻击。“
https://stackoverflow.com/questions/18769691
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号