Imagina que tienes un sitio simple con solo 2 páginas: login.aspx y secret.aspx. Su sitio está protegido con nada más que la autenticación de formularios ASP.net y un control del servidor de inicio de sesión de ASP.net en login.aspx. Los detalles son los siguientes:

El sitio está configurado para usar SqlMembershipProviderEl sitio niega a todos los usuarios anónimos.Las cookies están deshabilitadas

Obviamente, hay muchas cosas a considerar con respecto a la seguridad, pero estoy más interesado en el código cero de la experiencia de caja que viene con el marco .net.

Si, por el bien de esta pregunta, los únicos puntos de ataque son los cuadros de texto de nombre de usuario / contraseña en login.aspx, ¿puede un pirata informático inyectar un código que les permita acceder a nuestra página secreta.aspx?

¿Qué tan segura es la experiencia de código cero de fábrica que proporciona Microsoft?