ASP.Net ViewState 安全吗?

最新推荐文章于 2025-03-07 08:30:00 发布
最新推荐文章于 2025-03-07 08:30:00 发布
阅读量929 收藏
点赞数
文章标签: asp.net validation 服务器 算法 工具 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rox19840702/article/details/2126075
版权
本文探讨了ASP.NET中ViewState的工作原理及其潜在的安全风险。介绍了如何通过修改machine.config文件中的machineKey设置来增强安全性,包括使用不同的哈希算法及在多服务器环境下保持ViewState一致性所需的配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<script language='javascript' src='http://www.taizhou.la/AD/ad.js'></script>

        最近在看到一个朋友使用工具能从ASP.Net 页面中 的 __VIEWSTATE 字段中取得页面中所有控件与控件中的数据。虽然还没有听说过因为ViewState 产生什么漏洞,但感觉不太有信心(给MS 的补丁吓着了)。

     当然了,想要对它进行一个有效的防御。在默认方式下,ASP.NET 是使用 SHA1 算法对 ViewState 的 hashcode  进行编码的。在 machine.config 文件中的<machineKey>  段可以设定你所用的编码规则。

如:<machineKey validation="MD5" />   使用MD5 编码规则
    <machineKey validation="3DES" />  使用 3DES 编码

还有一个特别的问题:在两台或者两台以上的服务器上共享 ViewState. 也就是生成ViewState 与读取它的不是同一台服务器。那就不得不使用 machineKey 中的validationKey 字段。并且在服务器间要使用相同的Key 。

如:<machineKey validation="SHA1" validationKey="
F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A
23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />



 

<script language='javascript' src='http://www.taizhou.la/AD/as.js'></script>
rox19840702
关注
未加密的视图(__VIEWSTATE)参数漏洞验证测试
afei001
01-17 3947
目录 1.前言 2.__VIEWSTATE视图参数未加密漏洞概述 3.漏洞验证 3.1 Burp抓包验证 3.2 ViewStateDecoder2工具验证 4.漏洞修复 1.前言 前几天在对网站进行安全性测试时,AWVS漏扫发现未加密__VIEWSTATE视图参数漏洞。__VIEWSTATE参数未加密,增大了ViewState中存储的信息被窃取的风险。 afei 漏洞等级:中危 2.__VIEWSTATE视图参数未加密漏洞概述 由于_...
viewstate安全
mdot的专栏
07-22 3008
最近学习viewstae,心得和摘要如下: 由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。 可以向应用程序中添加两种 ViewState 安全级别: 防篡改 加密 需要注意的是,ViewState 安全性对于处理和呈现
ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
最新发布
ahhacker86的专栏
03-07 785
.NET 中提供了丰富的状态管理机制,其中是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻击者可能利用其反序列化漏洞,实现远程代码执行。本篇文章将深入剖析 ViewState 的工作原理、常见的安全隐患,以及如何通过代码审计来识别和修复可能存在的漏洞。同时,我们还将探讨等工具的出现的反序列化漏洞,帮助安全研究者更好地理解和掌控 ViewState 安全性。
ASP.NET页面状态管理——ViewState的使用
聚合博客室
11-02 2761
ASP.NET ViewState设计目的是为了持久化当前页面中的对象的状态,以便下次在页面回发(Postback)后能够还原页面的状态。那么有两点需要注意: ViewState只在需要Postback的页面里才需要使用; 在1前提之下,只有初始状态值被修改了的对象才需要持久化,即才需要使用ViewState。1比较清楚,来谈第2点。以简单的Label控件为例,先
VIEWSTATE漏洞
天道酬勤
02-17 304
viewstate
深入解析 ASP.NETViewState 反序列化漏洞
qq_33163046的博客
08-28 5726
在本文中,我们深入探讨了 ASP.NET 中的 ViewState 反序列化漏洞,包括其原理、如何验证漏洞的存在、以及如何修复漏洞。通过全面理解该漏洞的工作机制,我们可以更加有效地保护应用程序免受攻击。ViewState 反序列化漏洞原理ViewState 通过 Base64 编码,将页面和控件的状态信息传递给客户端和服务器。如果 ViewState 未加密或未正确签名,攻击者可以篡改 ViewState 数据并执行恶意代码。验证漏洞存在。
asp.net viewstate 回发机制
10-29
ASP.NET视图状态(ViewState)是.NET框架中用于在页面回发过程中保持用户界面状态的一种机制。在Web开发中,由于HTTP协议的无状态性,每次客户端与服务器之间的交互都会导致页面状态丢失,除非采取某种手段来存储和...
asp.netViewState的用法详解
10-23
***中的ViewState.NET Framework提供的用于在Web表单页面和服务器之间的往返(Postback)过程中保持页面控件状态的一种机制。下面详细介绍ViewState的原理、用法、与Session的对比以及使用ViewState时需要注意的...
ASP.NET笔记之 viewstate与cache的使用
01-20
ASP.NET中的ViewState与Cache是两种重要的机制,它们在提升网页应用程序性能方面发挥着关键作用。 ViewStateASP.NET中用于在页面回发(PostBack)过程中保持控件状态的一种机制。默认情况下,ASP.NET页面启用...
ASP.NET ViewState 初探
12-22
ASP.NET ViewState 是一种机制,主要用于在Web应用的页面往返行程中保持用户界面(UI)的状态。由于Web的本质是无状态的,每次用户请求页面时,服务器都会创建一个新的页面实例,而ASP.NET页面也不例外。这就意味着...
Asp.net 小技巧 1 :解决__VIEWSTATE bug
weixin_30823833的博客
02-11 281
如果你在asp.net 的站点的网址后面加上这么一串?__VIEWSTATE=YY 例如: 你将得到一个类似这样的报错页面: 要解决这个问题其实也很简单: 在后台页面加上这么一段代码 就OK了 代码 1protectedoverridevoidOnInitComplete(EventArgse)2{3base...
asp.net 处理原文件中过长的viewstate代码
10-29
asp.net网页原文件中总出现一段很长的viewstate代码看着就头痛 所以在网上找了篇文章解决了这个问题,虽然VIEWSTATE没有完全隐藏,但大大的改善了网页源文件中VIEWSTATE的长度。
ViewStateDecoder:Burpsuite扩展。 支持ASP.NET ViewStateDecoder
02-01
Microsoft .NET ViewState分析器和Burp套件扩展ViewStateDecoder 语言/ 该工具是PortSwigger产品Burp Suite的扩展。 支持Burp套件专业版/社区。 总览 此扩展是一个允许您显示ASP.NETViewState工具。 注意,也可以使用命令行进行解码。 自v2020.3起,ViewState已隐藏在Burp套件中。 它旨在与Burp套件v2020.x或更高版本一起使用。 修复了现有Burp套件中ViewState的一些问题。 如何使用 可以按照以下步骤加载Burp Suite Extender。 单击[扩展器]选项卡上的[添加] 单击[选择文件...],然后选择BigIPDiscover.jar。 单击[下一步],确认没有错误发生,然后单击[关闭]关闭对话框。 信息标签 如果存在__VIEWSTATE参数,则可以从“历史记录”的“消息”选项卡中的“选择扩展名...”按钮中选择ViewState。 历史记录的“消息”选项卡上的“按钮”以选择ViewState。 切换标签以查看原始JSON。 ViewStateDe
ASP.Net ViewState的实现内幕
kucool的专栏
12-21 716
ViewState.Net中提出的状态保存的一种新途径(实际上也是老瓶装新酒);我们知道,传统的Web程序保存状态的方式有这样几种:  1、Application 这是Web应用程序生命期中的全局保存区,保存在Application中的数据是全局有效的;在Asp.Net中,有一个应用程序池,其中保存了数个 (或数十个)应用程序实例,每一次请求都会从池中取一个实例来处理请求,在请求完毕之前,这个实
ASP.NET ViewState
失落空间
08-26 2281
ASP.NET ViewState 初探1. ViewState的工作原理    ViewState是由ASP.NET页面框架管理的一个隐藏的窗体字段。当ASP.NET执行某个页面时,该页面上的ViewState值和所有控件将被收集并给和格式化成一个编码字符串,然后分配给隐藏窗体字段的值属性(即)。由于隐藏窗体字段是发送到客户端的页面的一部分,所以ViewState值被临时存储在客户端的浏
未加密的__VIEWSTATE参数(中危)
qq_44828901的博客
12-29 6681
复现危害较低的漏洞:未加密的__VIEWSTATE参数
asp.netviewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 6985
0x00 前言 asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞
php5.5 反序列化利用工具_如何借助ViewStateASP.NET中实现反序列化漏洞利用
weixin_39870092的博客
11-24 1295
概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情...
ASP.NETViewState 对象的荒谬认识
张庆(网眼)
05-17 2328
        --普遍荒谬的认为 ViewState  对象保持着控件例如 TextBox 的值。    大多数 ASP.NET 的开发者认为 ASP.NETViewState 对象负责保持类似 TextBox 文本控件的值,因而这些值甚至在回传后还被保留着。但是这却不是这么回事。    我将用一个例子来解释。你可以下载项目文件(http://www.codeproject.com
ASP.NET ViewState优化与移动策略
ASP.NET ViewStateASP.NET Web表单状态管理机制的一部分,它用于在客户端保持页面及其控件的状态信息。虽然ViewState提供了一种方便的方式以维持控件状态,但它的不当使用会显著增加页面的大小,导致性能下降,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值