问.NET网站是如何被黑的？

EN

我觉得你被误导了。.NET网站与其他网站本质上没有什么区别。在现代拓扑中，网站运行时与IIS有充分的分离，因此升级攻击不应该比运行在Tomcat和Apache上的Java站点更容易；默认的模板引擎Razor及其直接的前身(在较小程度上)都可以防止大多数常见的HTML注入攻击；会话在默认情况下是安全的；该框架提供强大的XSS防御；等等。这几乎正是我对任何其他语言的现代框架所要说的--就像在这些语言中一样，您将寻找一个善意的开发人员绕过HTML注入保护来完成一些事情，然后利用它的地方。

.NET中有很多独特的东西，但只有相同的一般意义，我可以对.NET、Python或Ruby做同样的陈述，而这些都与.NET的本质无关。