ASP CGI Argument Injection, yaitu jenis serangan berdasarkan gangguan dengan parameter input halaman pada aspx. Ini dapat memungkinkan penyerang untuk melihat data yang biasanya tidak dapat mereka lihat atau untuk mengubah data yang biasanya tidak dapat mereka modifikasi, melalui user interface. Argument injection biasanya dapat digunakan untuk memperoleh berbagai informasi. Misalnya penyerang dapat membaca halaman atau melihat gambar milik user yang berbeda dan sebagainya.
![]() |
| ASP CGI Argument Injection |
Impact
- Penyerang dapat menambah, melihat, menghapus atau memodifikasi data dalam aplikasi yang terkena dampak.
- Penyerang dapat mengontrol sistem yang rentan, dengan menemukan celah dari sisi aplikasi artinya membuat pintu masuk yang dimanfatkan untuk melakukan penetrasi untuk memperoleh informasi mesin dan dapat mengontrol (ambil alih) dari sistem yang rentan.
Recommendation
- Periksa semua input path halaman yang berisi "CMSPages". Direktori-direktori ini berisi, antara lain, halaman yang mengirim file ke browser klien dan di salah satu parameter URL, biasanya ada jalur atau pengidentifikasi ke file.
- Periksa halaman yang berfungsi dengan ID / nama yang diambil dari URL query string atau melalui form field.
- Mengubah username menjadi pengidentifikasi yang lebih sulit ditebak - sebuah GUID.
- Mengambil nama pengguna dari MembershipContext (MembershipContext.AuthenticatedUser Property)
- Memeriksa apakah pengguna saat ini memiliki izin untuk mengubah kata sandi.
- Mengamankan query string parameter dengan .hash code validation.


1. Tidak semua pertanyaan dapat dijawab.
2. Komentar mengandung link akan otomatis terhapus.
3. Kode emoticon » :) :D :p :v :3 :x :| :cool: :sorry: :sip: :email: :bingung: