未加密_VIEWSTATE参数(UNENCRYPTED__VIEWSTATE PARAMETER)
发布时间:2021/8/26 12:09:13 作者:Admin 阅读:3549
广告:
【中危】未加密的__VIEWSTATE参数(UNENCRYPTED__VIEWSTATE PARAMETER)
漏洞描述
’__VIEWSTATE参数未加密。为了减少某人拦截存储在ViewState中的信息的机会,最好对ViewState进行加密。为此,请将machineKey验证类型设置为AES。这指示ASP.NET使用“高级加密标准”对ViewState值进行加密
漏洞危害
可能的敏感信息泄露
漏洞证明
BP抓包
可在响应包页面的viewstate中发现,自动解密
在这里插入图片描述
VIEWSTATEDECODER2工具解密
在这里插入图片描述
修复建议
在 Web.Config 文件的元素之下,添加下面这一行:
<system.web> <machinekey validation="3DES"></machinekey></system.web>
广告:
相关文章