【发布时间】:2014-04-16 06:11:41
【问题描述】:
对不起标题,不知道最简单的说法。
我正在将 ASP.NET vb.net 与 Web 表单一起使用。我在页面上有一个下拉列表控件。 目前当所选的下拉目更改时,它会在按钮上回发,然后单击“选择”值
“我想知道是否有可能(通过黑客等)操纵下拉列表的值或在网络请求中发送更改后的值,以便它们可以在下拉列表定义的选项服务器端之外。
例如
Private Sub testbutton_Click(sender As Object, e As EventArgs) Handles testbutton.Click
Dim test As String = testdropDown.SelectedItem.Value
testlabel.text = test
End Sub
如果用户在定义的值之外更改了选定的值,是否可以用诸如 xss 之类的内容填充标签。
或者,如果我将该值放入 SQL 查询中,并且只想要 1-10 的选项,他们是否可以更改下拉值以输入 25 并将其成功传递到查询中?
【问题讨论】:
标签: asp.net sql webforms code-injection