【原创】记一次.net项目被小人攻击事件

luoze
14022luoze网络安全主管
2018-03-03 10:38:20
14022 2018-03-03 10:38:20
话题: 白蚁网安
[介绍]  
    这个项目用是.net的mvc做的,其一的功能是地址名验证重复。本来后台用ModelState.IsValid是可以再次验证的。但这个方法只能防君子不能防小人。
代码如下  :
  model,验证该字段的重复,给字段的属性Remote,指定方法,附加字段和提示



  view



  控制器Controllers 。验证重复的方法,验证结果是否重复,VerifyAddress返回的结果为Json(true)或Json(false即可)



 提交验证,后台的验证只需ModelState.IsValid即可,如果在view用html标签不用mvc自带控件的话,ModelState.IsValid是为false的。



  可是项目运行一段时间后,竟然发现有重复的数据。功能再反复测试过了,没有发现问题,只能从渗透考虑了。结果用抓包工具抓包模拟提交后竟然ModelState.IsValid就无效了。(解决的办法是在后台再去数据库验证一下)
攻击演示

本文标题:【原创】记一次.net项目被小人攻击事件
本文作者:luoze
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t1775-1.html
raoday
沙发raoday安全工作者 2018-03-06 14:18
内容不错,继续加油!
raoday
板凳raoday安全工作者 2018-03-06 14:19
注意主题
游客
登录后才可以回帖,登录 或者 注册
weixin
蚁安蚂蚁堆

找工具、找教程、找朋友,你想不到的这儿都有!

微信号:baiyiwangan