¿Puede haber vulnerabilidades de desbordamiento/desbordamiento del búfer en el portal web asp.net completamente administrado? En caso afirmativo, ¿cómo puede probarse esto?Es posible el desbordamiento/desbordamiento del búfer en la aplicación web asp.net C# completamente administrada
No, a menos que explote el servidor web o la pila .NET/ASP.NET.
En el caso general, no necesita preocuparse por los desbordamientos del búfer. Esta es una de las principales ventajas del código administrado, la recolección de basura es quizás la otra gran ventaja.
Hay algunos casos extremos que debe tener en cuenta: cada vez que su código administrado interactúa con código no administrado (llamadas API Win32, interoperabilidad COM, P/Invoke, etc.) existe la posibilidad de sobrepasamientos de búfer en el no administrado código, basado en parámetros pasados desde el código administrado.
También el código marcado como "inseguro" puede manipular directamente las direcciones de memoria de forma tal que cause un desbordamiento del búfer. Sin embargo, la mayoría del código de C# se escribe sin utilizar la palabra clave "inseguro".
Tenía una herramienta (HP Dev Inspect) detecté un posible "Desbordamiento de búfer de parámetros posible" dentro de mi aplicación ASP.NET y era porque no teníamos MaxLength = "20" en uno de nuestros cuadros de texto.
Diferente tipo de desbordamiento de búfer, bien tipo de. Si el valor de su cuadro de texto se pasa sin marcar a, digamos, un parámetro de SQL, podría causar estragos, o si se pasa a una función que no esperaba el texto completo de "Call of Cthulu" para un parámetro, podría comportarse mal. Sepa que los usuarios inteligentes (como los que usan la extensión de desarrollador web de FF) pueden simplemente desactivar MaxLength. Es una defensa de conveniencia, no algo con lo que deberías contar. Siempre debe verificar la longitud de entrada del usuario si va a importar. – Broam
¿Puede explicar más por favor? –
Si su código está completamente administrado, entonces no hay forma de que el buffer desborde el código que USTED escribe. Pero el stack (.NET y demás) sobre el que está construido no está escrito en código administrado puro, por lo que existe la posibilidad de explotar esos, incluso si es pequeño. –
Muchas gracias por su respuesta. –