未加密_VIEWSTATE参数（UNENCRYPTED__VIEWSTATE PARAMETER）

广告：阿里云采购优惠专区

【中危】未加密的__VIEWSTATE参数（UNENCRYPTED__VIEWSTATE PARAMETER）

漏洞描述

’__VIEWSTATE参数未加密。为了减少某人拦截存储在ViewState中的信息的机会，最好对ViewState进行加密。为此，请将machineKey验证类型设置为AES。这指示ASP.NET使用“高级加密标准”对ViewState值进行加密

漏洞危害

可能的敏感信息泄露

漏洞证明

BP抓包

可在响应包页面的viewstate中发现，自动解密

在这里插入图片描述

VIEWSTATEDECODER2工具解密

在这里插入图片描述

修复建议

在 Web.Config 文件的元素之下，添加下面这一行：

<system.web> <machinekey validation="3DES"></machinekey></system.web>

广告：阿里云新人采购专场