0
我們有一個使用ASP.NET標識的活動ASP.NET MVC 5網站。它似乎是aspnetusers表上SQL注入攻擊的受害者。 PasswordHash和SecurityStamp列值都附加了HTML - 以隱藏的div標籤(display:none)內藥品網站的鏈接形式。如何防止AspNetUsers表SQL注入攻擊?
這樣可以防止任何用戶登錄我們的網站。
唯一需要注意的是我們允許Facebook用戶使用他們的Facebook帳戶進行身份驗證。
我很新的ASP.NET MVC和身份,並沒有真正修改我的項目中提供的任何授權代碼。有什麼我可以修改,以防止未來的攻擊?
第一步:找到您正在訪問數據庫的任何地方並使用參數化查詢。 –
首先,是什麼讓你認爲這是一次SQL注入攻擊?其次,使用參數化查詢或者實體框架等ORM,這樣可以擺脫大部分注入點。 – DavidG
我也許錯誤地推測SQL注入攻擊導致內容被插入/附加到數據庫記錄。另外,我們使用實體框架來處理Identity表。 – Wombly