Нужно ли средство для отслеживания и блокирования попыток инъекций кода на страницах ASP .NET WebForms?
У меня есть небольшой проект, который отслеживает и блокирует попытки инъекций кода в ASP .NET WebForms. Нужен ли подобный функционал разработчикам?
Имеется серверный контрол, осуществляющий перехват запросов к странице, на которой он расположен. Запросы обрабатываются элементом, XSS и SQL Injection в запросах обнуляется.
В планах: выдача на Веб-консоль Информации по атакам.
В ASP.NET WebForms же уже встроен похожий механизм.
ИМХО SQL инъекции сейчас не очень актуальны.
XSS да, интересно, но не знаю насколько остро стоит эта проблема.
Я знаю о нём. И у него есть проблема: одна, но очень важная. Request.ValidateInput() суров и малопригоден для отлова и обработки всяческих ошибок.
По поводу SQL — инъекций могу с уверенностью заявить — их обработка встроена в логику элементов доступа к данным. )
По поводу XSS — проблема имеет место быть. К сожалению. Хотя, например, в части кражи кук опять неэффективно, а скрипты внедряются на ура. И самое, пожалуй, неприятное — ASP .NET XSS активные. Страница со скриптом сохраняется в Кэше сервера. Попутно Идея родилась: можно попробовать очищать Кэш Веб Сервера.