所以,我正在做一些事情,我想知道关于如何以及什么样的漏洞,我可以添加到CSV解析。net应用程序在客户端在转到服务器端之前。所以基本上需要在代码的解析逻辑中存在漏洞可以通过在dotpeek中打开它来利用它. 所以我想要一些关于如何做到这一点的想法。现在我在一个点上,应用程序可以创建csv文件基于我们在代码中给出的东西*(我在代码中给出了元素)*,它也可以读取csv文件,但问题是读取csv文件的"元素"的数量;在CSV文件中应该是已知的。所以我需要一些关于漏洞的想法如上所述。
DotPeak基本上可以检索所有内容,因为它反编译了代码。
如果你想让它更难使用obfuscator,它可以更好地防止反编译。
一个常见的漏洞是保存hardcoded的安全信息。
例如数据库密钥、服务器认证、用户/密码等…
另一个经典漏洞是读取Env variable-因此您可以将写入的CSV文件路径添加为env variable。
您还可以添加一些将显示更多秘密信息的内容,例如配置密钥,如果打开,则显示CSV中的另一个头。
请补充更多关于这个练习,你的目标是什么样的水平,你模拟什么样的攻击?