viewstate的安全

最新推荐文章于 2021-05-31 14:40:02 发布
最新推荐文章于 2021-05-31 14:40:02 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: .net 文章标签: validation asp.net textbox 加密 server asp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mdot/article/details/49090
版权

最近学习viewstae,心得和摘要如下:

由于 ViewState 没有被格式化为清晰的文本,某些人有时会认为它被加密了,其实并没有。相反,ViewState 只是进行了 Base64 编码,以确保值在往返过程中不会发生变化,而并不考虑应用程序使用的响应/请求编码。

可以向应用程序中添加两种 ViewState 安全级别:

  • 防篡改
  • 加密

需要注意的是,ViewState 安全性对于处理和呈现 ASP.NET 页面所需的时间有直接的影响。简单地说,安全性越高,速度越慢。因此如果不需要,请不要为 ViewState 添加安全性。

防篡改

尽管散列代码不能确保 ViewState 字段中实际数据的安全,但它能够显著降低有人通过 ViewState 骗过应用程序的可能性,即防止回传应用程序通常禁止用户输入的值。

可以通过设置 EnableViewStateMAC 属性来指示 ASP.NET 向 ViewState 字段中追加一个散列代码:

<%@Page EnableViewStateMAC=true %>

可以在页面级别上设置 EnableViewStateMAC,也可以在应用程序级别上设置。在回传时,ASP.NET 将为 ViewState 数据生成一个散列代码,并将其与存储在回传值中的散列代码进行比较。如果两处的散列代码不匹配,该 ViewState 数据将被丢弃,同时控件将恢复为原来的设置。

默认情况下,ASP.NET 使用 SHA1 算法来生成 ViewState 散列代码。此外,也可以通过在 machine.config 文件中设置 <machineKey> 来选择 MD5 算法,如下所示:

<machineKey validation="MD5" />

加密

可以使用加密来保护 ViewState 字段中的实际数据值。首先,必须如上所述设置 EnableViewStatMAC="true"。然后,将 machineKey validation 类型设置为 3DES。这将指示 ASP.NET 使用 Triple DES 对称加密算法来加密 ViewState 值。

<machineKey validation="3DES" />

Web 领域中的 ViewState 安全性

默认情况下,ASP.NET 将创建一个随机的验证密钥,并存储在每个服务器的本地安全授权 (LSA) 中。要验证在另一台服务器上创建的 ViewState 字段,两台服务器的 validationKey 必须设置为相同的值。如果要通过上述方式之一,对运行于 Web 领域配置中的应用程序进行 ViewState 安全设置,则需要为所有服务器提供一个唯一的、共享的验证密钥。

验证密钥是一个包含 20 到 64 位密码增强字节的随机字符串,用 40 到 128 个十六进制字符表示。密钥越长越安全,因此建议使用 128 个字符的密钥(如果计算机支持)。例如:

<machineKey validation="SHA1" validationKey=" F3690E7A3143C185AB1089616A8B4D81FD55DD7A69EEAA3B32A6AE813ECEECD28DEA66A 23BEE42193729BD48595EBAFE2C2E765BE77E006330BC3B1392D7C73F" />

System.Security.Cryptography 名称空间包括 RNGCryptoServiceProvider 类,使用该类可以生成此字符串,如以下 GenerateCryptoKey.aspx 示例所示:

<%@ Page Language="c#" %> <%@ Import Namespace="System.Security.Cryptography" %> <HTML> <body> <form runat="server"> <H3>生成随机加密密钥</H3> <P> <asp:RadioButtonList id="RadioButtonList1" runat="server" RepeatDirection="Horizontal"> <asp:ListItem Value="40">40-byte</asp:ListItem> <asp:ListItem Value="128" Selected="True">128-byte</asp:ListItem> </asp:RadioButtonList>&nbsp; <asp:Button id="Button1" runat="server" οnclick="GenerateKey" Text="生成密钥"> </asp:Button></P> <P> <asp:TextBox id="TextBox1" runat="server" TextMode="MultiLine" Rows="10" Columns="70" BackColor="#EEEEEE" EnableViewState="False"> 复制并粘贴生成的结果</asp:TextBox></P> </form> </body> </HTML> <script runat=server> void GenerateKey(object sender, System.EventArgs e) { int keylength = Int32.Parse(RadioButtonList1.SelectedItem.Value); // 在此处放入用于初始化页面的用户代码 byte[] buff = new Byte[keylength/2]; RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); // 该数组已使用密码增强的随机字节进行填充 rng.GetBytes(buff); StringBuilder sb = new StringBuilder(keylength); int i; for (i = 0; i < buff.Length; i++) { sb.Append(String.Format("{0:X2}",buff[i])); } // 粘贴到文本框,用户可从中复制 TextBox1.Text = sb.ToString(); } </script>
mdot
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密的视图(__VIEWSTATE)参数漏洞验证测试
afei001
01-17 3407
目录 1.前言 2.__VIEWSTATE视图参数未加密漏洞概述 3.漏洞验证 3.1 Burp抓包验证 3.2 ViewStateDecoder2工具验证 4.漏洞修复 1.前言 前几天在对网站进行安全性测试时,AWVS漏扫发现未加密__VIEWSTATE视图参数漏洞。__VIEWSTATE参数未加密,增大了ViewState存储的信息被窃取的风险。 afei 漏洞等级:危 2.__VIEWSTATE视图参数未加密漏洞概述 由于_...
Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 1398
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE使用。
ASP.NETEnableViewState
宜臶瑏芯的博客
12-06 440
this.EnableViewState的意思是是否要将状态保存到页面的ViewState去如果是页面的this.EnableViewState=false的话那么整个页面的ViewState就被禁用掉了,如果页面回发的话就无法保存页面的状态了。如文本框输入的值。。就是说ViewState这个属性是保存页面的一个状态,比方说你原先文本框里面输入几个字符提交到服务器上去,如果这个时候ViewSt
浅谈ViewState
我在等那么一天的博客
11-04 1万+
一、什么是ViewState 二、使用
asp.net viewstate 反序列化攻击 学习记录
qq_41891666的博客
07-13 5450
0x00 前言 asp.net 平时接触得少,ctf 也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。
Validation of viewstate MAC failed 解决办法
aiqi1964的博客
11-26 307
大部分人都说是在页里或web.config里加EnableEventValidation="false" EnableViewStateMac="false" ViewStateEncryptionMode="Never"这些属性的设置。但是这并不从根本上解决问题,相反这样做了反而更加不安全。 为了解决问题我继续收集资料,不经意的发现了一个网页里讲到一个Blog系统从NET1.1升级...
ASP.NET ViewState 初探
water84222的专栏
07-11 111
与刚接触 asp.net 页面的开发人员交谈时,他们通常向我提出的第一个问题就是:“那个 viewstate 到底是什么?”他们的语气流露出的那种感觉,就象我来到一家异国情调的餐馆,侍者端上一道我从未见过的菜肴时的那种感觉 - 既疑惑不解,又充满好奇。但肯定有人认为它不错,否则就不会提供了。所以,我会先尝一尝,或许会喜欢上它,尽管它看上去的确很古怪!对于 viewstate 也是如此,但是如果适...
渗透测试|CSRF拿下盗图狗后台
hackzkaq的博客
05-31 201
更多渗透技能 欢迎搜索公众号:白帽子左一 看到了篇贼6的文章、原作者:jasonx 转载自:http://aakw.net/2g7ry 前言: 我朋友说和对方谈过几次,但是对方态度嚣张,让他有本事去就去告… 那么闲来无事,咱们不如来一发? 0x01 信息收集 先随便浏览一些页面,发现网站是aspx的,然后扫描了下,windows服务器,iis搭建。 通过指纹识别没查到相关cms,然后开始看JS和css等文件,没发现什么有价值的信息。 然后我发现在他的网站底部,有个【技术支持】,点击后跳转到一家软件公司
ViewState 安全初探
AS565656的博客
08-16 193
ViewState 到底是什么?ViewState 用于维护页面的 UI 状态。Web 是没有状态的,ASP.NET 页面也没有状态,它们在到服务器的每个往返过程被实例化、执行、呈现和处理。在 ASP.NET 之前,通过多次回传将值恢复到窗体字段完全是页面开发人员的责任,他们将不得不从 HTTP 窗体逐个拾取回传值,然后再将其推回字段。幸运的是,现在 ASP.NET ...
C#强化系列文章一:ViewState使用兼谈序列化
weixin_33695450的博客
11-20 151
ViewState的使用比较简单,一两句话就可以了。 赋值:ViewState[key] = value; 取值:value = ViewState[key]; 最主要的作用就是可以在当前页面保存值,ASP.NET的页面状态维护就是使用ViewState来实现的,基本上每一个ASPX页面都可以看到如下类似的html代码: &lt;input type="hidden" name="__...
ViewStateDecoder:Burpsuite扩展。 支持ASP.NET ViewStateDecoder
02-01
Microsoft .NET ViewState分析器和Burp套件扩展ViewStateDecoder 语言/ 该工具是PortSwigger产品Burp Suite的扩展。 支持Burp套件专业版/社区。 总览 此扩展是一个允许您显示ASP.NETViewState的工具。 注意,也可以使用命令行进行解码。 自v2020.3起,ViewState已隐藏在Burp套件。 它旨在与Burp套件v2020.x或更高版本一起使用。 修复了现有Burp套件ViewState的一些问题。 如何使用 可以按照以下步骤加载Burp Suite Extender。 单击[扩展器]选项卡上的[添加] 单击[选择文件...],然后选择BigIPDiscover.jar。 单击[下一步],确认没有错误发生,然后单击[关闭]关闭对话框。 信息标签 如果存在__VIEWSTATE参数,则可以从“历史记录”的“消息”选项卡的“选择扩展名...”按钮选择ViewState。 历史记录的“消息”选项卡上的“按钮”以选择ViewState。 切换标签以查看原始JSON。 ViewStateDe
WEB安全测试
07-02
2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源...
[完整][文][WEB安全测试].(美)霍普.扫描版.pdf
12-07
2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源...
asp.net 防SQL注入(非常简洁)
07-05
if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i]....
大文件及文件夹上传(不错的程序)
10-23
不过如果有人如果使用sniff截获postback的viewstate的数据仍然可以获得用户名和密码,这儿是一篇讲解使用salt在客户端加密和认证的文章通过这个方法不发送明文密码从而增强了安全性。对在进度条的实现上开始使用的...
国非常论坛cnVery bbs v3.0.1 Build 0606(SQL)
03-26
 3、除个别后台管理功能页外,其他所有页面禁用ViewState,效率得到提高;  4、改进发帖保存模式,帖子保存由专门的封装类处理,为实现对接其他系统做好准备;  5、改进论坛页面布局,增加一些细微的功能,使论坛...
chinaren同学录的字数倒记数
热门推荐
mdot的专栏
07-27 4万+
在CHIANREN同学录的最后的快速回复,会发现有个录入字数倒计算的功能,规定500字,你按一下键,就提示你还可以键入多少个字,其实用JSCRIPT做,页面一看就看到代码了,只不过想法挺新鲜的,以后可以在程序用。 〈texare id="words" onPropertyChange="textCounter(WRITEMSGTXT.words, 500)"> function textCou
datagrid添加滚动条
mdot的专栏
12-05 1万+
DATAGRID是没滚动条的,要添加的话其实很简单,只需要: 其实是利用了CSS属性
.net的placeholder控件
mdot的专栏
01-08 7216
最近留意到有人问,NET的placeholder控件用来做什么的。其实PLACEHOLDER控件,是用来做动态加载用户自定义控件时,一个占位置作用的控件,比如private void Page_Load(object sender, System.EventArgs e){string p = Request.QueryString.Get("p");PlaceHolder1
asp.net viewstate用法举例
最新发布
05-28
ASP.NET ViewState 是一种用于在 Web 应用程序跨请求存储数据的机制。以下是一个使用 ViewState 的示例: 假设您有一个页面,其包含一个文本框和一个按钮。用户在文本框输入一些文本,然后单击按钮。在单击按钮时,将在服务器端处理程序使用 ViewState 存储文本框的值,并在页面上显示它。 以下是一个简单的 ASP.NET 页面代码示例,它演示了如何使用 ViewState 存储和检索文本框的值: ```html <%@ Page Language="C#" %> <!DOCTYPE html> <html> <head runat="server"> <title>ViewState Example</title> </head> <body> <form id="form1" runat="server"> <div> <asp:TextBox ID="TextBox1" runat="server"></asp:TextBox> <br /> <asp:Button ID="Button1" runat="server" Text="Save" OnClick="Button1_Click" /> <br /> <asp:Label ID="Label1" runat="server"></asp:Label> </div> </form> </body> </html> ``` 在按钮单击事件处理程序,我们将文本框的值存储在 ViewState ,并将其显示在页面上: ```csharp protected void Button1_Click(object sender, EventArgs e) { string text = TextBox1.Text; ViewState["myText"] = text; Label1.Text = "Text saved: " + text; } ``` 在页面加载事件处理程序,我们检索存储在 ViewState 的值,并将其显示在页面上: ```csharp protected void Page_Load(object sender, EventArgs e) { if (!IsPostBack) { if (ViewState["myText"] != null) { string text = (string)ViewState["myText"]; Label1.Text = "Text retrieved: " + text; } } } ``` 通过这种方式,我们可以在页面上保留用户在文本框输入的值,即使用户单击其他按钮或导航到其他页面。请注意,ViewState 可能会增加页面大小,并增加网络传输时间。因此,我们应该谨慎使用 ViewState,并仅在必要时使用它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值