两年前的NET通用系统代码审计

java审计都快一年多了，忽然发现公众号里没有net审计文章，又翻了翻电脑乱七八糟的文件，发现了23年1月，初次审计net系统的经历，当时也不会c#，直接反编译开干，最后发现多个方法都存在sql注入，成就感还是很高的。然后水了一个cnnvd。本次审计是net form框架，先来看下文件类型文件类型ASPX.cs是页面后的代码，aspx负责显示，服务器端的动作就是在aspx.cs定义的。.cs是类文件，公共类.ashx是一般处理程序，主要用于写web handler,可以理解成不会显示的aspx页面，不过效率更高dll就是cs文件编译之后的程序集，审计代码就找dll文件aspx:Aspx是浏览器直接访问的页面,对应web page。有iis处理成html内容输出ascx:Ascx 是定义的Web的用户控件(UserControl)，要插入aspx页面呈现.头部文件声明为控件文件，用户控件继承自System.Web.UI.UserControlashx:Ashx是一个专门用于处理http请求 ………………………………