Wyobraź sobie, że masz prostą witrynę z zaledwie 2 stronami: login.aspx i secret.aspx. Twoja strona jest zabezpieczona za pomocą tylko uwierzytelniania formularzy ASP.net i kontroli serwera ASP.net Login na login.aspx. Szczegóły są następujące:

Witryna jest skonfigurowana do korzystania z SqlMembershipProviderWitryna odmawia wszystkim anonimowym użytkownikomPliki cookie są wyłączone

Jest oczywiście wiele rzeczy do rozważenia w kwestii bezpieczeństwa, ale bardziej interesuje mnie doświadczenie z zerowym kodem, które pochodzi z frameworka .net.

Jeśli ze względu na to pytanie jedynymi punktami ataku są pola tekstowe nazwa użytkownika / hasło w login.aspx, czy haker może wstrzyknąć kod, który pozwoli im uzyskać dostęp do naszej strony secret.aspx?

Jak bezpieczne jest korzystanie z gotowego oprogramowania o zerowym kodzie, które zapewnia Microsoft?