[〜#〜] owasp [〜#〜] で定義されているように、.NETベースのWebアプリケーションでコードインジェクションが可能かどうかは疑問です。 。NETとのコードインジェクションについて調査した後、 .NETのコンテキストでのコードインジェクション( this など)ですが、Webアプリケーションに対するコードインジェクションとは無関係に見えます。
(OWASPの定義による)コードインジェクションのデフォルトの例は、PHPアプリケーションであり、ユーザー入力に依存するようにコードが動的に作成され、eval()
を介して実行されます。 .NETのようなものはありますか?
.Net Webアプリケーションでコードインジェクションを行うための最も簡単な方法は、ファイルのアップロードを許可し、ユーザーがRazorテンプレートファイル(.cshtmlまたは.vbhtml)をアップロードできるようにし、ユーザーがそれをリクエスト/実行できるようにすることです。
コメントで述べたように、System.Reflectionも非常に強力で、理論的にはコードの挿入に使用できます。