asp.net – Reflection构成了什么风险? (中等信任)
发布时间:2020-12-16 00:18:38 所属栏目:asp.Net 来源:网络整理
导读:对于许多流行的Web应用程序,Medium Trust托管环境中缺乏反射似乎是 cause a lot of problems. 为什么默认情况下使用中等信任禁用ReflectionPermission? 反射在共享托管环境中会带来什么风险? 有关随机参考,请参阅MSDN: How to use Medium Trust in ASP.NET
对于许多流行的Web应用程序,Medium Trust托管环境中缺乏反射似乎是
cause a lot of problems.
>为什么默认情况下使用中等信任禁用ReflectionPermission? 有关随机参考,请参阅MSDN: How to use Medium Trust in ASP.NET 2.0 解决方法
反射允许恶意代码检查各种秘密:不是知识产权(尽管也是如此),而是应该是私密且安全的数据,如连接字符串,密码,银行帐户数据等.
当然,许多程序通过更容易受到攻击的向量来理解这些数据,但是没有理由增加应用程序的攻击面. 编辑从评论中引出一些对话: 真正的风险可能是不受限制的文件系统访问,这就是将反射变成真正危险的原因.如果一个坏的演员可以将一个程序集(或者被编译成程序集的东西)放到你的虚拟目录中,那么如果他们有反射权限就会遇到麻烦. (当然,如果发生这种情况,还有其他潜在的问题,但这不应该忽视这个特定的漏洞.) 在一个更难以预防的共享托管环境中,尽管这当然不是不可能的.也许值得将这个问题交叉发布到ServerFault,看看有什么好人可以说. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- ML.NET技术研究系列-1入门篇
- asp.net – 在.NET 4.5 Azure部署中找不到编译器可执行文件
- ASP.NET实现二维码
- ASP.NET MVC3 RAZOR:文件上载给出文件计数为零
- asp.net – 从ASPX中的URL检索GET变量
- asp.net-mvc – 如何强制Razor使Editorfor输入float变量的数
- asp.net – System.Web.AspNetHostingPermission SecurityE
- ASP.NET -- WebForm -- ViewState
- [WCF]缺少一行代码引发的血案
- asp.net-mvc – 使用cookie在ASP MVC中存储会话
推荐文章
站长推荐
- asp.net – 如何使用JQuery与母版页?
- asp.net-mvc – 如何使用ASP.NET Core,2.0中的Ra
- asp.net-mvc – 使用ViewModels和对System.Web.M
- IIS中的 Asp.Net Core 和 dotnet watch
- ASP.NET Core 中间件基本用法
- asp.net-mvc – 在另一个文件夹中捆绑的Javascri
- Azure Event Hub 技术研究系列3-Event Hub接收事
- 从wsdl文件更新asp.net WebService引用?
- 如何在asp.net转发器控件中获取项目点击事件?
- asp.net – 是否有可能检测到页面刷新(F5)服务器
热点阅读