Я только что столкнулся с этим, и моя проблема была вызвана наличием двух сущностей как с System.ComponentModel.DataAnnotations.Schema.TableAttribute
, относящихся к одной и той же таблице.
, например:
[Table("foo")]
public class foo
{
// some stuff here
}
[Table("foo")]
public class fooExtended
{
// more stuff here
}
второй с foo
до foo_extended
исправил это для меня, и теперь я использую Table Per Type (TPT)
От Открытый Проект безопасности веб-приложения:
лучшие десять:
Я второй информация OWASP, как являющаяся ценным ресурсом. Следующее может представлять интерес также, особенно шаблоны нападения:
Очевидно, протестируйте каждое поле на уязвимости:
mysql_real_escape_string
) Поиск бесконечных циклов (единственная косвенная вещь (если много людей нашло его случайно), который мог бы уничтожить сервер действительно).
Некоторые методы предотвращения:
XSS
, Если Вы берете какие-либо параметры/вход от пользователя и когда-нибудь планируете вывод его, ли в журнале или веб-странице, санируйте его (разделяют/выходят что-либо напоминающее HTML, кавычки, JavaScript...) при печати текущего URI страницы в себе санируйте! Даже печать PHP_SELF, например, небезопасна. Санируйте! Отражающий XSS прибывает главным образом из несанированных параметров страницы.
, Если Вы берете какой-либо вход от пользователя и сохраняете его или печатают его, предупреждают их, если что-либо опасное/недопустимое обнаруживается, и сделайте, чтобы они повторно ввели. IDS хорош для обнаружения (такого как PHPIDS.) Тогда санируют перед устройством хранения данных/печатью. Тогда, когда Вы печатаете что-то от устройства хранения данных/базы данных, санируете снова! Вход-> IDS/санировать-> хранилище-> санирует->, производит
, используют сканер кода во время разработки, чтобы помочь определить потенциально уязвимый код.
XSRF
Внедрение SQL
Легкий наблюдать и легкий зафиксировать: очистка данных получена от стороны клиента. Проверка вещи такой как''; может помочь в предотвращении вредоносного кода, вводимого в Ваше приложение.
G'day,
А хороший инструмент статического анализа для безопасности FlawFinder, записанный David Wheeler. Это делает хорошее задание, ища различное использование безопасности,
Однако это не заменяет наличие хорошо осведомленного, кто-то прочитал Ваш код. Как David говорит относительно своей веб-страницы, "Дурак с инструментом является все еще дураком!"
HTH.
аплодисменты, Rob
Можно заставить хорошие дополнения Firefox тестировать несколько дефектов и уязвимостей как xss и внедрения SQL от Компас безопасности . Слишком плохо они не работают над firefox 3.0. Я надеюсь, что те будут скоро обновлены.