ASP.NET中的ViewState内容格式分析

最新推荐文章于 2024-08-28 09:00:00 发布
最新推荐文章于 2024-08-28 09:00:00 发布
阅读量62 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/unruledboy/archive/2004/11/03/59854.html
作者出于好奇对ASP.NET生成页面中的ViewState内容进行分析。初步判断其Value经过BASE64编码,解码后发现编码使用“<”“>”“;”作为分隔符号,还提及若使用敏感字符作为名称的疑问,作者打算今晚继续分析。

声明:这个随笔没有什么技术价值,纯粹好奇之作


一直对ASP.NET生成的页面中一大串的ViewState内容比较好奇,不过懒于去反编译ASP.NET。这个东西形如:

<input type="hidden" name="__VIEWSTATE" value="dDw2Mjg5MzIzMTI7dDxwPGw8VHlwZUlEO0FjdGlvbklEO0tleXdvcmRzO1Nob3dDb2xvcjtTb 这里省略n多字符"


刚才心血来潮,稍微分析了一下这个东西,初步结论:

1、得益于平时比较喜欢研究文件/流/字符串格式,很快便判断也证实了__VIEWSTATE的Value是经过BASE64编码的;

2、用BASE64解码可以得出形如:
t<628932312;t<p<l<TypeID;ActionID;Keywords;ShowColor;SortExp;>;l<-2;-2;\e;True;CreatedDate;>>;l<i<1>;>;l<t<;l<i<5>;i<9>;i<19>;i<21>;i<23>;i<25>;i<29>;>;l<t<t<;t<i<11><@0<p<p<l<CurrentPageIndex;PageSize;PageCount;_!ItemCount;_!DataSourceItemCount;DataKeys;>这里省略了n多字符。可以看出这个编码是使用了关键字符“<”、“>”、“;”来作为分隔符号,大家还可以看见前面的“TypeID;ActionID;Keywords;ShowColor;SortExp”就是我在后代码中用到的ViewState:TypeID、ActionID、Keywords、ShowColor、SortExp。假如我使用了敏感字符作为名称呢?譬如ViewState("<a>;"),不知道会怎样?应该会先编码,微软的人不会差到这么基本的问题都没有考虑。

先分析到这里,上班:)今晚继续。

转载于:https://www.cnblogs.com/unruledboy/archive/2004/11/03/59854.html

ViewState介绍和总结(1)--------ViewState的介绍
水田里的大苹果
09-03 3971
1.     ViewState介绍:(1) ViewState 不是用来恢复回发的控件的值。这个是通过匹配 form 中该控件的变量名而自动完成的。这个只对 Load 事件加载之前创建的控件有效。(2) ViewState 不会自动创建任何动态创建的控件。(3) 不是用来保存用户信息的。仅仅保存本页的控件状态,而不能在页面之间传递。当这个页面关闭之后,ViewState也会随之消失。
asp.net viewState
u013400314的博客
08-18 861
那么,有了这个隐藏域,页面里其他所有的控件的状态,包括页面本身的一些状态都会保存到这个控件值里面. 每次页面提交时一起提交到后台,asp.net对其中的值进行解码,然后输出时再根据这个值来恢复各个控件的状态. 我们再看这个控件的value值,它可能类似如下的形式:Oz4+O2w8aTwxPjs+O2w8…当请求某个页面时,ASP.NET会把所有控件的状态序列化成一个字符串,然后作为窗体的隐藏属性送到客户端,当客户端吧页面回传时,ASP.NET分析回传的窗体属性,并赋给控件对应的值。.........
ViewState解析工具源码
08-10
反编译前辈上传的ViewState解析工具。 想深入了解VIEWSTATE机制,可以下载源码来看看。
ViewState 的解析
acgzi5436的博客
10-01 248
最近做项目,使用GridView进行数据编辑,怎么也获取不到用户输入的值,只能获取到目标TextBox和它之前绑定的值。 百思不得其解,后来在网上求助,发现原来是gridView的EnableViewState属性在作怪。下面,就来认识一下这个ViewState 。 什么是ViewStateViewState 用来跟踪和保存控件的状态信息。否则这些信息可能会丢失,原因可能是这些...
asp.net页面中的viewstate内容解析器
10-17
有些asp.net中使用viewstate,那里的内容是base64编码,此工具是把viewstate 内容给解析成原来内容,里面包括1.0,1.1,2.0三种版本的工具
深入解析 ASP.NETViewState 反序列化漏洞
qq_33163046的博客
08-28 8067
在本文中,我们深入探讨了 ASP.NET 中的 ViewState 反序列化漏洞,包括其原理、如何验证漏洞的存在、以及如何修复漏洞。通过全面理解该漏洞的工作机制,我们可以更加有效地保护应用程序免受攻击。ViewState 反序列化漏洞原理ViewState 通过 Base64 编码,将页面和控件的状态信息传递给客户端和服务器。如果 ViewState 未加密或未正确签名,攻击者可以篡改 ViewState 数据并执行恶意代码。验证漏洞存在。
ASP.NETViewState学习与联想
龙井茶的Sky
07-29 452
针对ViewState的一些了解与联想
关于ASP.NETViewState相关学习
龙井茶的Sky
07-20 618
由于ASP.NET存在服务器端控件,但是Web又是无状态的,于是就用到了ViewState,将服务器控件状态信息存储到ViewState,通过与服务器交互进行数据的传递。而ViewState其实是存储在hidden中,这样就很容易被非法获取、篡改。 于是今天的引子就出来了,即初步研究下ViewState相关原理机制,然后一定程度解决前文所述问题。.........
ASP.NETViewState中反序列化利用
qq_43571759的博客
10-04 2549
ASP.NETViewState中反序列化利用 做项目学到一手记录下 viewstate是什么 按键名称存储每个控件的值,如哈希表 跟踪对视图状态值的初始状态的更改 序列化和取消序列化保存的数据到客户端上的隐藏窗体字段 自动恢复回贴的 ViewState 数据 ASP.NET 支持三种不同的开发模式: Web Pages(Web 页面)、MVC(Model View Controller 模型-视图-控制器)、Web Forms(Web 窗体)基于 web forms ,目的是为服务端控件状态进行持
asp.netViewState的用法详解
10-23
- TextBox控件的TextMode属性如果设置为Password,则状态不会保存在ViewState中,出于安全考虑。 - 页面重定向或没有回传时避免使用ViewState。 - 动态创建控件时需谨慎处理ViewState。 - 禁止程序的ViewState...
asp.net 禁用viewstate在web.config里
01-21
您可能感兴趣的文章:详解ASP.NET配置文件Web.configasp.net代码中修改web.config节点的具体方法ASP.NET web.config中数据库连接字符串connectionStrings节的配置方法asp.net web.config加密解密方法ASP.NET(C#)应用...
.netviewstate的原理和使用
Curtain的博客
04-29 3925
ASP.NET中的ViewState ViewStateASP.NET中用来保存WEB控件回传时状态值一种机制。在WEB窗体(FORM)的设置为runat="server",这个窗体(FORM)会被附加一个隐藏的属性_VIEWSTATE。_VIEWSTATE中存放了所有控件在ViewState中的状态值。 ViewState是类Control中的一个域,其他所有控...
如何查看viewstate内容
diuwa19781113的博客
03-16 455
http://ignatu.co.uk/ViewStateDecoder.aspx 在线看内容 转载于:https://www.cnblogs.com/akak123/archive/2012/03/16/2400047.html
二维码工具(1).zip
最新发布
09-13
二维码工具(1).zip
基于ZXing修改的二维码扫描器.zip
09-12
基于ZXing修改的二维码扫描器.zip
在网页上生成二维码.zip
09-12
在网页上生成二维码.zip
四级流水线8位booth算法乘法器,有无符号都支持(verilog),含testbench(system verilog)
09-12
乘法器包含三个.v文件 乘法器可进行有符号与无符号的8位乘法计算,但是需要提前输入乘数是否为有符号的标识 【 顶层multiplier_8_special.v:对乘法器进行分割段数 booth2_pp_decoder.v:使用booth算法,将乘数进行转换 mult_pp_adder.v:执行部分积加法。(这里经过了部分优化,但是仍直接使用了‘+’符号,如果是asic设计,需要更加具体,也能进一步优化) tb_mult8_special.v:(tesetbench):仿真激励文件:20*4组随机数测试数据,会返回验证时出错的数据的部分原因。(system verilog) 】 经过初步仿真验证,无问题 经过vivado某个ultrascale型号的fpga实现过后能达到500mhz以上频率,资源使用量为120lut左右 此模块为tpu设计中的一个底层模块,(作为多复用单元,可以处理浮点数据的一个部分)后续会逐步上传tpu的其他部分以及功能原理介绍 注:sys_enable:模块启动信号,sys_enable=0时会暂停并暂存数据。 valid:valid=1输入乘数有效,valid=0无效则会不计算这个数据。
深入理解ASP.NETViewState的作用与机制
资源摘要信息:"ViewStateASP.NET Web表单应用程序中用于在页面回发时保持页面和服务器控件状态的一种机制。因为HTTP协议是无状态的,这意味着每次用户请求新页面时,服务器都会将页面视为全新的请求,不会保留之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值