web-dev-qa-db-ja.com

.NETでのコードインジェクションは可能ですか?

[〜#〜] owasp [〜#〜] で定義されているように、.NETベースのWebアプリケーションでコードインジェクションが可能かどうかは疑問です。 。NETのコードインジェクションについて調査した後、 .NETのコンテキストでのコードインジェクション( this など)ですが、Webアプリケーションに対するコードインジェクションとは無関係に見えます。

(OWASPの定義による)コードインジェクションのデフォルトの例は、PHPアプリケーションであり、ユーザー入力に依存するようにコードが動的に作成され、eval()を介して実行されます。 .NETのようなものはありますか?

2
countermode

.Net Webアプリケーションでコードインジェクションを行うための最も簡単な方法は、ファイルのアップロードを許可し、ユーザーがRazorテンプレートファイル(.cshtmlまたは.vbhtml)をアップロードできるようにし、ユーザーがそれをリクエスト/実行できるようにすることです。

コメントで述べたように、System.Reflectionも非常に強力で、理論的にはコードの挿入に使用できます。

1
Dan Landberg