Peut-il y avoir des vulnérabilités de débordement/dépassement de tampon dans un portail Web asp.net complètement géré. Si oui, comment cela peut-il être testé.Le buffer overflow/overrun est-il possible dans une application Web asp.net C# entièrement gérée
Répondre
Non sauf si vous exploitez le serveur Web ou la pile .NET/ASP.NET elle-même.
Dans le cas général, vous n'avez pas à vous soucier des dépassements de mémoire tampon. C'est l'un des principaux avantages du code managé, la récupération de place étant peut-être l'autre avantage majeur.
Il y a quelques cas de bord dont vous devez être conscient - chaque fois que votre code managé interagit avec du code non managé (appels d'API Win32, interopérabilité COM, P/Invoke, etc.) il existe un risque de dépassement de tampon code, basé sur les paramètres transmis à partir du code managé.
De même, le code marqué comme "non sécurisé" peut manipuler directement les adresses mémoire de manière à provoquer un débordement de la mémoire tampon. La plupart du code C# est écrit sans utiliser le mot-clé "dangereux", cependant.
J'ai eu un outil (HP Dev Inspect) détecter un éventuel "débordement de tampon de paramètre possible" dans mon application ASP.NET et c'était parce que nous n'avions pas un MaxLength = "20" dans un de nos TextBoxes.
Différents types de dépassement de tampon, bien en quelque sorte. Si la valeur de votre zone de texte est passée non cochée à, oh, disons, un paramètre SQL, il pourrait faire des ravages - ou si elle est passée à une fonction qui n'attendait pas le texte entier de "Call of Cthulu" se conduire mal. Sachez que les utilisateurs avertis (comme ceux qui utilisent l'extension Web Developer de FF) peuvent simplement désactiver MaxLength. C'est une défense de commodité, pas quelque chose sur lequel vous devriez compter. Vous devriez toujours vérifier la longueur de l'entrée de l'utilisateur si cela compte. – Broam
- 1. asp.net exception non gérée
- 2. Constantes dans une application Web C#
- 3. Comment démarrer une nouvelle application Web ASP.NET en utilisant C#
- 4. La compilation dynamique dans une 'Application Web ASP.NET' est-elle possible?
- 5. Application Web ASP.NET MVC vs Application Web ASP.NET
- 6. Comment détecter une application non gérée a avorté
- 7. comment ajouter une application web asp.net
- 8. Création de pages maîtres imbriquées dans une application Web ASP.NET
- 9. Comment afficher un message d'erreur dans une application Web ASP.NET
- 10. Afficher les rapports Oracle dans une application Web ASP.NET
- 11. Est-il possible qu'une application C++ non gérée charge uniquement le CLR lorsqu'elle a besoin de types gérés?
- 12. VS2008 ASP.NET Site Web et application Web
- 13. Console Application - Impossible d'intercepter une exception non gérée
- 14. Depth Buffer dans OpenGL
- 15. Comment héberger des contrôles .Net sous licence dans une application C++ non gérée?
- 16. Comment intégrer le site Web ASP.Net Webforms à une application Web ASP.Net MVC?
- 17. en utilisant le site Web pour développer ou utiliser une application Web dans ASP.Net?
- 18. ASP.net: Afficher le PDF dans une page web asp.net
- 19. Est-il possible d'héberger une page Web ASPX, dans une application autonome, en dehors de IIS
- 20. Comment faire pour obtenir Handle.ToInt32() dans une application Web ASP.NET
- 21. comment créer webshare dans une application web asp.net?
- 22. Exception non gérée CachedRawResponse asp.net
- 23. Aide Web pour une application Web ASP.net 3.5
- 24. iphone: Embed un système entièrement intégré carte personnalisée (Google) dans une application native
- 25. Application web multilingue Asp.net - localisation
- 26. listview de ASP.NET (application web)
- 27. exposer une bibliothèque de classe C++ non gérée à C#
- 28. Est-il possible de créer une application web asp.net mvc compatible avec ms .net & mono?
- 29. Comptage d'éléments de page Web entièrement chargés dans javascript
- 30. comment exécuter mon application Web sur le serveur ASP.NET
Pouvez-vous expliquer plus s'il vous plaît. –
Si votre code est complètement géré, il n'y a aucun moyen de déborder le code que vous écrivez. Mais la pile (.NET et autres) que vous avez construite n'est pas écrite en code managé pur, il y a donc une possibilité de les exploiter, même si elle est petite. –
Merci beaucoup pour votre réponse. –