Attualmente sto testando un'applicazione Web ASP.NET per la sua sicurezza. In questo modo ho trovato il meccanismo di convalida degli eventi.
C'è un modo per aggirarlo? Quanta sicurezza c'è che non può essere aggirato?
La convalida degli eventi di ASP.NET fornisce un livello di protezione accettabile rispetto ad alcuni attacchi di sicurezza Web specifici, ma non dovrebbe essere considerata una panacea.
Ci sono state vulnerabilità nell'implementazione in passato come la esclusione nullo ASP.NET e anche lì sono casi in cui non può entrare in gioco (esempi qui e più recentemente here ).
Da quest'ultimo link c'è una citazione interessante di Microsoft qui "L'ASP La funzione di convalida delle richieste .NET esegue la convalida dell'input di base, non fare affidamento su di essa e utilizzarla come misura precauzionale aggiuntiva oltre alla convalida dell'input. Solo tu puoi definire ciò che rappresenta un buon input per l'applicazione. "
Leggi altre domande sui tag validation asp.net injection