如何向解析CSV文件的.NET应用程序客户端添加漏洞

Question

所以，我正在做一些事情，我想知道在我进入服务器端之前，我可以如何和什么样的漏洞添加到客户端上的CSV解析.NET应用程序中。因此，基本上，在代码的解析逻辑中需要有一个漏洞，可以通过在dotpeek中打开它来利用该漏洞。所以我想知道如何做到这一点。现在，我的应用程序可以根据代码*(我给出代码中的元素)*创建csv文件，它也可以读取csv文件，但问题是在读取csv文件时，应该知道csv文件中“元素”的数量。因此，正如上面提到的，我需要一些关于漏洞的想法。

Answer 1

DotPeak本质上可以检索所有东西，因为它对代码进行了反编译。

如果你想让它变得更难，可以使用一个obfuscator，它能更好地防止反编译。

其中一个常见漏洞是保存hardcoded安全信息。

例如数据库密钥、服务器身份验证、用户/密码等.

另一个典型的漏洞是读取Env variable，因此您可以将编写的CSV文件路径添加为env variable。

您还可以添加一些会显示更多秘密信息的内容，例如，如果打开CSV中的另一个头部的配置键。

请增加更多关于这个练习，你的目标是什么样的水平，你在模拟什么样的攻击？