Мобильная версия Это было задано ранее, но ответы устарели, и я хотел бы знать, что такое современный подход. Справочник для сотрудника с идентификатором сотрудников < /code>, который является строкой, которая, возможно, поступила из веб -формы или чего -то еще, и не может быть полностью доверяем. < /P>
DirectorySearcher search = new DirectorySearcher(new DirectoryEntry());
search.Filter = "(&(objectClass=user)(employeeid=" + id + "))";
search.PropertiesToLoad.Add("mail");
search.PropertiesToLoad.Add("telephonenumber");
SearchResult sresult = search.FindOne();
< /code>
Как вы можете видеть, было бы не слишком сложно ввести значение < /code>, которое будет делать то, что я на самом деле не намерен делать. OWASP считает это серьезной уязвимостью. Каков лучший современный подход для предотвращения этого? активно поддерживается.string encoded = Microsoft.Security.Application.Encoder.LdapFilterEncode(id);
< /code>
Но кажется, что эта библиотека больше не поддерживается: < /p>
antixss теперь IS End of Life
in .net 4.0 Версия Antixs была включена в Framework, и
может быть включена через конфигурацию. В asp.net v5 белый список на основе
encoder будет единственным энкодером.
Таким образом, автономные версии Antixs должны рассматриваться Люди, использующие
более ранние версии .NET, чтобы включить альтернативную, кодируемое белым списком
, но никаких дополнительных улучшений, вне исправлений безопасности, будет
быть Сделано. Это было всегда готово к производству: < /p>
Отказ от ответственности
Этот проект предназначен как основной выборки при реализации пользовательского LINQ
Поставщики запросов. Он не был тщательно протестирован, и мы не оказываем никакой поддержки. Не используйте его в среде производства
без надлежащего тестирования и проверки поведения технологии
. Пользователи наиболее могут сообщать о проблемах и ошибках через трекер вопросов
на этом сайте. Есть ли что -нибудь в более новых версиях .NET Framework, чтобы смягчить инъекцию LDAP?
Подробнее здесь: https://stackoverflow.com/questions/516 ... rysearcher
Как предотвратить инъекцию LDAP при использовании DirectorySearcher ⇐ C#
Место общения программистов C#
-
Anonymous
1740059931
Anonymous
Это было задано ранее, но ответы устарели, и я хотел бы знать, что такое современный подход. Справочник для сотрудника с идентификатором сотрудников < /code>, который является строкой, которая, возможно, поступила из веб -формы или чего -то еще, и не может быть полностью доверяем. < /P>
DirectorySearcher search = new DirectorySearcher(new DirectoryEntry());
search.Filter = "(&(objectClass=user)(employeeid=" + id + "))";
search.PropertiesToLoad.Add("mail");
search.PropertiesToLoad.Add("telephonenumber");
SearchResult sresult = search.FindOne();
< /code>
Как вы можете видеть, было бы не слишком сложно ввести значение < /code>, которое будет делать то, что я на самом деле не намерен делать. OWASP считает это серьезной уязвимостью. Каков лучший современный подход для предотвращения этого? активно поддерживается.string encoded = Microsoft.Security.Application.Encoder.LdapFilterEncode(id);
< /code>
Но кажется, что эта библиотека больше не поддерживается: < /p>
antixss теперь IS End of Life
in .net 4.0 Версия Antixs была включена в Framework, и
может быть включена через конфигурацию. В asp.net v5 белый список на основе
encoder будет единственным энкодером.
Таким образом, автономные версии Antixs должны рассматриваться Люди, использующие
более ранние версии .NET, чтобы включить альтернативную, кодируемое белым списком
, но никаких дополнительных улучшений, вне исправлений безопасности, будет
быть Сделано. Это было всегда готово к производству: < /p>
Отказ от ответственности
Этот проект предназначен как основной выборки при реализации пользовательского LINQ
Поставщики запросов. Он не был тщательно протестирован, и мы не оказываем никакой поддержки. Не используйте его в среде производства
без надлежащего тестирования и проверки поведения технологии
. Пользователи наиболее могут сообщать о проблемах и ошибках через трекер вопросов
на этом сайте. Есть ли что -нибудь в более новых версиях .NET Framework, чтобы смягчить инъекцию LDAP?
Подробнее здесь: [url]https://stackoverflow.com/questions/51640503/how-to-prevent-ldap-injection-when-using-directorysearcher[/url]
Ответить
1 сообщение
• Страница 1 из 1
Перейти
- Кемерово-IT
- ↳ Javascript
- ↳ C#
- ↳ JAVA
- ↳ Elasticsearch aggregation
- ↳ Python
- ↳ Php
- ↳ Android
- ↳ Html
- ↳ Jquery
- ↳ C++
- ↳ IOS
- ↳ CSS
- ↳ Excel
- ↳ Linux
- ↳ Apache
- ↳ MySql
- Детский мир
- Для души
- ↳ Музыкальные инструменты даром
- ↳ Печатная продукция даром
- Внешняя красота и здоровье
- ↳ Одежда и обувь для взрослых даром
- ↳ Товары для здоровья
- ↳ Физкультура и спорт
- Техника - даром!
- ↳ Автомобилистам
- ↳ Компьютерная техника
- ↳ Плиты: газовые и электрические
- ↳ Холодильники
- ↳ Стиральные машины
- ↳ Телевизоры
- ↳ Телефоны, смартфоны, плашеты
- ↳ Швейные машинки
- ↳ Прочая электроника и техника
- ↳ Фототехника
- Ремонт и интерьер
- ↳ Стройматериалы, инструмент
- ↳ Мебель и предметы интерьера даром
- ↳ Cантехника
- Другие темы
- ↳ Разное даром
- ↳ Давай меняться!
- ↳ Отдам\возьму за копеечку
- ↳ Работа и подработка в Кемерове
- ↳ Давай с тобой поговорим...
