アカウント名:
パスワード:
ASP.NETで入力されたデータを HttpRequest.Params を使って取得すると、GET, POSTの他にCookieの値も混ざっている、ということですね。この仕様はPHPの $_REQUEST と同じ。こんなWebサイトがIDSなどに頼っていた場合はいつもの被害が発生。SQLインジェクションでやり放題、もしくはXSSでセッションや秘密情報が盗まれると。
しかし、HttpRequest.Paramsで検索 [google.com]しても887件しか引っかからないところをみると、ほとんどの人はRequest.QueryString, Request.Formを使っているようです。 # そもそもHttpRequest.Paramsを知らない?
それよりも驚いたのは以下の部分。
Microsoftがこういう訳の分からない仕様にするときって、
のどちらかだから、今回もそうだと思うのですが...どうなんでしょうか。
Windowsなんてそんなののカタマリですしね。クジラの内臓がはみ出たOSです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
ASPがひどすぎる (スコア:4, 参考になる)
ASP.NETで入力されたデータを HttpRequest.Params を使って取得すると、GET, POSTの他にCookieの値も混ざっている、ということですね。この仕様はPHPの $_REQUEST と同じ。こんなWebサイトがIDSなどに頼っていた場合はいつもの被害が発生。SQLインジェクションでやり放題、もしくはXSSでセッションや秘密情報が盗まれると。
しかし、HttpRequest.Paramsで検索 [google.com]しても887件しか引っかからないところをみると、ほとんどの人はRequest.QueryString, Request.Formを使っているようです。
# そもそもHttpRequest.Paramsを知らない?
それよりも驚いたのは以下の部分。
Re:ASPがひどすぎる (スコア:0)
久しぶりに見た気がする。
Re:ASPがひどすぎる (スコア:1)
Microsoftがこういう訳の分からない仕様にするときって、
のどちらかだから、今回もそうだと思うのですが...どうなんでしょうか。
Windowsなんてそんなののカタマリですしね。クジラの内臓がはみ出たOSです。