Возможно ли переполнение / переполнение буфера в полностью управляемом веб-приложении asp.net c #

Могут ли быть уязвимости переполнения / переполнения буфера на полностью управляемом веб-портале asp.net. Если да, то как это можно проверить.


c# asp.net buffer-overflow buffer-overrun
person Pradeep Kumar Mishra    schedule 01.10.2008    source источник

Ответы (3)


arrow_upward
7
arrow_downward

Нет, если вы не эксплуатируете веб-сервер или сам стек .NET / ASP.NET.

person Serafina Brocious    schedule 01.10.2008
comment
Если ваш код полностью управляем, то нет возможности буферизовать переполнение кода, который ВЫ пишете. Но стек (.NET и тому подобное), на котором вы построены, не написан в чистом управляемом коде, поэтому есть возможность использовать их, даже если он небольшой. - person Serafina Brocious; 01.10.2008

arrow_upward
8
arrow_downward

В общем случае вам не нужно беспокоиться о переполнении буфера. Это одно из основных преимуществ управляемого кода, и, пожалуй, еще одно важное преимущество - сборка мусора.

Есть несколько крайних случаев, о которых вам следует знать - каждый раз, когда ваш управляемый код взаимодействует с неуправляемым кодом (вызовы Win32 API, COM-взаимодействие, P / Invoke и т. Д.), Существует вероятность переполнения буфера в неуправляемом коде на основе параметры, переданные из управляемого кода.

Также код, помеченный как «небезопасный», может напрямую манипулировать адресами памяти таким образом, чтобы вызвать переполнение буфера. Однако большая часть кода C # написана без использования ключевого слова unsafe.

person Mark Bessey    schedule 01.10.2008

arrow_upward
0
arrow_downward

У меня был инструмент (HP Dev Inspect), обнаруживающий возможное «возможное переполнение буфера параметров» в моем приложении ASP.NET, потому что у нас не было MaxLength = «20» в одном из наших текстовых полей ...

person Community    schedule 29.04.2009
comment
Разного рода переполнение буфера, ну вроде как. Если значение вашего текстового поля передается не отмеченным, скажем, параметру SQL, это может вызвать хаос - или если оно передается функции, которая не ожидала весь текст Call of Cthulu для параметра, это могло бы вести себя плохо . Знайте, что опытные пользователи (например, использующие расширение FF Web Developer) могут просто отключить MaxLength. Это удобная защита, а не то, на что вы должны рассчитывать. Вы всегда должны проверять вводимые пользователем данные на предмет длины, если это имеет значение. - person Broam; 09.02.2010