【中危】未加密的 | 您所在的位置:网站首页 › 大学英语期末作文模板10篇 › 【中危】未加密的 |
0. 知识补充
学习链接:ASP.NET 之 ViewState 、浅谈ViewState 简单理解: 表单提交在遇到服务器返回错误时候,再次填写表单时,上次填写的值不会被清空。维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState,需在.aspx页面顶部包含提示,或者或者向任意控件添加属性EnableViewState=“false” 。没有设置维持ViewState,当点击按钮提交,表单值将消失。ViewState是如何使用的 ViewState 基本上由服务器生成,并以隐藏的表单字段 “_VIEWSTATE” 的形式发送给客户端,用于“POST”请求。当Web应用程序进行 POST 请求时,客户端将其发送到服务器。 ViewState 以序列化数据的形式出现,当客户端再次进行请求(ViewState)被发送到服务器时,将进行反序列化。 为了使 ViewState 不受篡改,存在一个启用 ViewState MAC 的选项,通过设置一个值并在反序列化期间对 ViewState 的值进行完整性检查。 1. 漏洞描述__VIEWSTATE 参数未加密,存在有人拦截存储在 ViewState 中的信息的机会。 2. 漏洞危害可能导致敏感信息泄露。 3. 漏洞验证使用工具:Burp Suit,需要安装插件ViewState Editor,如下图所示: ![]() ![]() ![]() ![]() ![]() 建议仅供参考,未实测。 请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。 打开 Web.Config 并在 元素下添加以下行:如下: ps:machineKey 元素(ASP.NET 设置架构) 专业文章解释关于ViewState的相关demo案例, 点我查看: ViewState 反序列化及其利用 |
CopyRight 2018-2019 实验室设备网 版权所有 |