Web安全相关(四):过多发布(Over Posting)

最新推荐文章于 2024-07-17 17:36:22 发布
最新推荐文章于 2024-07-17 17:36:22 发布
阅读量86 收藏
点赞数
文章标签: web安全 测试
原文链接:http://www.cnblogs.com/Erik_Xu/p/5497501.html
版权

简介

  过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下。原文链接如下:

  http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-in-asp-net-mvc-application#overpost

  

  示例代码下载:

  https://code.msdn.microsoft.com/ASPNET-MVC-Application-b01a9fe8

 

分析

  假设有一个类Student,它用于和数据库建立映射,而且Student中的一个字段Secret你不想在页面上修改它的值。

  

 

  即使界面上没有Secret对应的字段,hacker可以通过一些工具(如fildder)或者编写js去发送请求来修改Secret的值。

  

 

  如上图,Secret的值会被修改为OverPost。

 

防止

  在ASP.NET中,防止过多发布的方法大概有以下几种:

  1. 使用BindAttribute中的Include属性,把需要映射的字段加到白名单。

  public ActionResult Create([Bind(Include = "LastName, FirstMidName, EnrollmentDate")]Student student)

 

  2. 使用BindAttribute中的Exclude属性,把不允许映射的字段加到黑名单。

  public ActionResult Create([Bind(Exclude = "Secret")]Student student)

 

  3. 使用TryUpdateModel方法,验证Model的时候,制定需要映射的字段。

  if (TryUpdateModel(student, "", new string[] { "LastName", "FirstMidName", "EnrollmentDate" }))

  {

  }

  

  4. 定义一个新的类作为输入参数

   public class StudentForm

    {

         public string LastName { get; set; }

         public string FirstMidName { get; set; }

         public DateTime EnrollmentDate { get; set; }

    }

 

转载于:https://www.cnblogs.com/Erik_Xu/p/5497501.html

weixin_30500105
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Razor Pages-如何防止过多发布攻击(Over Posting)
mikefbi的博客
03-28 372
过多发布攻击(Over Posting): 黑客可使用 Fiddler 等工具或通过编写某个 JavaScript 来提交表单中不存在的字段值, 达到修改数据库的目的。 如何防范过多发布: 在表单Post请求处理方法中使用TryUpdateModelAsync 来更新数据库: public async Task<IActionResult> OnPostAsync() { ...
Web安全相关):过多发布(Over Posting
weixin_33708432的博客
01-13 110
简介   过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下。原文链接如下:   http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-...
对于over-posting的防御
weixin_30679823的博客
05-08 109
  over-posting简单的说就是指用户通过猜测等手段得知了后端数据Model的属性名称,在数据更新或添加的时候提交了本不应该允许用户更改的数据库字段,并且在服务器端因为没有进行防御而将恶意提交的数据写入了数据库。   对于这种漏洞的防御可以使用第6节所示的方式进行模型的更新,也可以使用Bind特性在Action上进行白名单(Include)或者黑名单(Exclude)的限制,使用方...
Asp.Net Web API 2第十五课——Model Validation(模型验证)
weixin_34082789的博客
12-23 156
前言 阅读本文之前,您也可以到Asp.Net Web API 2 系列导航进行查看 http://www.cnblogs.com/aehyok/p/3446289.html 本文参考链接文章地址http://www.asp.net/web-api/overview/formats-and-model-binding/model-validation-in-aspnet-web-api 当客户...
asp.net 表单绑定_ASP.NET-过度发布/大量分配模型绑定安全
cunfuxiao7305的博客
10-12 140
This little post is just a reminder that while Model Binding in ASP.NET is very cool, you should be aware of the properties (and semantics of those properties) that your object has, and whether or not...
posting-sync-agent:使用#Sell Posting API同步3taps中的发布
05-28
这是一个可以配置为从3taps中搜索和检索某些帖子,然后将它们发布Posting API的代理。 该代理使用Later.js( )在设定的时间间隔内轮询3taps API并检索新的发布。 如果有大量新的发布,则将这些发布发送到Posting ...
react_job_posting:React Job发布演示
03-27
有关更多信息,请参见关于的部分。npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署...
信息安全_数据安全_Putin_is_Posting:Social_Media,_V.pdf
08-22
信息安全_数据安全_Putin_is_Posting:Social_Media,_V 安全运营 安全防御 安全测试 web安全 安全人才
laravel-social-auto-posting::rainbow:Laravel社交自动发布
02-03
这是一个Laravel软件包,用于将您的内容发布到社交网络,例如: 电报频道(‌基于 ) 推特 脸书 :rocket: 特征: :cherries: 简单。 易于使用。 :memo: 发送短信到电报频道 :camera: 将照片发送到电报频道 :...
基于Asp.Net Core Mvc和EntityFramework Core 的实战入门教程系列-3
weixin_33681778的博客
03-09 295
来个目录吧:第一章-入门第二章- Entity Framework Core Nuget包管理第三章-创建、修改、删除、查询第章-排序、过滤、分页、分组第五章-迁移,EF Core 的codefirst使用 暂时就这么多。后面陆续更新吧 创建、查询、更新、删除 这章主要讲解使用EF完成 增删改查的功能。...
(三)使用.NET Core3.1和EF Core构建RESTful API
ananlele_的专栏
07-21 1816
在本文中,我将演示如何使用ASP.NET Core 3.1构建RESTful Web API,使用Entity Framework Core与现有数据库连接,创建JWT令牌提供对API访问的保护权限。如果您不熟悉.NET Core,可以先阅读我的.NET Core 3.1简介。 这篇文章的各节如下: 什么是RESTful API? 什么是JWT令牌? 添加控制器和脚手架构建RESTful API 使用Postman测试API接口 使用Cors解决前端调用API跨域的问题 创建一个JWT令牌保.
ASP.NET MVC 模式下配置SQLServer,创建EF执行增删改查操作
laizhixue的博客
02-27 2854
首先安装SqlSever 2008(版本可自己选择),安装教程在网上很多,不赘述。1、安装完成之后,在开始程序菜单找到SSMS(Sql Sever Managerment Studio),双击进入,截图如下:2、接下来我们建立一个新的数据库,用作存储MvcMovie中的数据。3、数据库名称可以为MvcMovie(其它名字也可以,为了方便记忆,我们设置名字相同),其它设置默认即可。点击确定4、我们可...
使用org.eclipse.paho.client.mqttv3 出现 正在进行过多发布的问题 解决方案
weixin_42327945的博客
02-25 2万+
.mqttv3支持 MqttClient (同步)、MqttAsyncClient(异步),官方建议使用异步实现,使用返回的token追踪状态,并可以使用token.waitForCompletion(); 阻塞进程,直到操作完成, 但是请留意,官网有真么一句话: If a client connects with cleanSession true then there will be n...
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
.net使用EF6和mvc5开发web官方教程
Hello World
06-16 6311
1.简介 首先需要说明的是,用ef框架开发web程序共有三种开发流程,database first,model first,code first,三种开发流程的ef流程图如下: 2.说明 下面对三种开发流程做简要的说明 1>database first(数据库优先) 数据库优先适用于你已经有了完整的数据库设计,且不应该大量改动(下面会说明原因),这样ef框架可以根据已有的数据库来
怎样避免频繁的Ajax提交
多一点点的专栏
10-08 1545
怎样避免频繁的Ajax提交?只提交最后一次的?
提升无线网络安全:用Python脚本发现并修复WiFi安全问题
m0_68483928的博客
07-17 482
文章详细介绍了如何使用Python脚本和一些强大的开源工具来捕获和测试WPA/WPA2握手。通过上述步骤,您可以在本地测试WiFi密码的安全性,并了解其潜在的漏洞。最后,选择指定密码本进行爆破(我这里的是从网络上收集的,大家可以自行去收集,或者评论或私信我获取)在本文中,我们将介绍并展示如何使用Python脚本来破解WiFi密码。首先,它会验证路由器的MAC地址(BSSID)是否格式正确,例如00:77:88:33:44:55。工具,通过提供的单词表文件来获取密码。·命令查看路由器的网卡地址,并输入。
web安全之跨站脚本攻击xss
最新发布
奔跑的小猪仔
07-17 1009
xss 跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。
PGCon2014:GIN索引优化:压缩 posting 列表与高效查询
Heikki Linnakangas、Alexander Korotkov和Oleg Bartunov详细介绍了PostgreSQL (PG) 9.4及更高版本中的GIN (Generalized Inverted Index) 索引的两个主要改进:压缩后缀列表(Compressed Posting Lists)和搜索键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值