联系我们
cms新闻网站系统、政府cms定制开发

广州网站建设公司-阅速公司

报纸新媒体网站内容发布一体化解决方案联系电话
/
http://www.ysneo.com/
广州网站建设公司
您当前位置:首页>网站技术

网站技术

未加密_VIEWSTATE参数(UNENCRYPTED__VIEWSTATE PARAMETER)

发布时间:2021/8/26 12:09:13  作者:Admin  阅读:209  

广告:阿里云采购优惠专区

【中危】未加密的__VIEWSTATE参数(UNENCRYPTED__VIEWSTATE PARAMETER)

漏洞描述

’__VIEWSTATE参数未加密。为了减少某人拦截存储在ViewState中的信息的机会,最好对ViewState进行加密。为此,请将machineKey验证类型设置为AES。这指示ASP.NET使用“高级加密标准”对ViewState值进行加密

漏洞危害

可能的敏感信息泄露

漏洞证明

BP抓包

可在响应包页面的viewstate中发现,自动解密

在这里插入图片描述

VIEWSTATEDECODER2工具解密

在这里插入图片描述

修复建议

在 Web.Config 文件的元素之下,添加下面这一行:

<system.web> <machinekey validation="3DES"></machinekey></system.web>

广告:阿里云新人采购专场

相关文章
VIEWSTATE参数
cms新闻系统购买咨询
扫描关注 广州阅速软件科技有限公司
扫描关注 广州阅速科技