关于viewstate保护问题

最新推荐文章于 2021-08-18 15:55:12 发布
最新推荐文章于 2021-08-18 15:55:12 发布
阅读量420 收藏
点赞数
分类专栏: 0601_C# 文章标签: validation asp.net 加密 算法 服务器

常用保护viewstate有两种方式:

1、防篡改

防篡改,使用散列代码.

在页面顶部加入如下代码:Page EnableViewStateMAC=true

asp.net就会自动的在viewstate中追加一个散列码,

在页面回传时,服务器根据回传的viewstate生成一个散列码,

再与回传的散列码相比较,如果不对,则丢弃该viewstate,同时控件将恢复初试状态.

(默认情况下asp.net是通过SHA1算法而不是md5算法来生成散列,不过这个可以在machine.config里面配置machineKey validation="MD5"即可)

 

2、加密

viewstate加密, 只要在machine.config里设置一下machineKey validation="3DES"即可实现用des加密viewstate了.

rowcolumn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 1475
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
ViewState
04-05
ViewState是一种允许在页面回发中保留状态值的机制。由于网页的无状态本质,常规
如何重写WebForm的ViewState 加密过程
qq_32915337的博客
01-16 680
问题描述 就是EnableViewStateMAC="true"ViewStateEncryptionMode="Always"设置这俩属性后,执行的加密~~~~~~求解,领导让我想办法重写加密过程,使用自定义的密钥128位的 解决方案 解决方案二: 设置machineKey和加密算法validation就行了,为什么要自己写呢 解决方案三: 引用1楼autfish的回
Mojarra JSF ViewState 反序列化漏洞
黑白的博客
12-27 2071
声明 好好学习,天天向上 漏洞描述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 影响范围 2.1.29-08前 2.0.11-04前 复现过程 这里使用2.1.28版本 使用vulhub /app/vulhub-master/mojarra/jsf-view
ViewState工具.rar
06-24
查看ViewState数据,了解VIEWSTATE机制是一款程序猿常常用到的编程辅助工具,具有保存字符串信息的功能,该软件体积非常小的ViewState解析工具
aspx不显示ViewState的实例
10-27
重写Render方法,来去掉ViewState,提高网站的性能
viewstate和datatable动态录入数据示例
10-26
主要介绍了viewstate和datatable动态录入数据示例,需要的朋友可以参考下
asp.net中ViewState的用法详解
10-23
本文给大家介绍asp.net中viewstate的用法,涉及到viewstate的原理、用法、与session的对比等方面的知识,对viewstate用法感兴趣的朋友一起看看吧
viewstate视图状态解码
06-26
viewstate 视图状态反编码 解释asp.net的viewstate信息。
python爬虫requests.post()_python爬虫学习(二)分析post请求
weixin_39864571的博客
11-23 629
Introducation本文将接上文详细分析post的请求和响应数据GeneralGeneralRequest URL:https://www.gebiz.gov.sg/ptn/opportunity/BOListing.xhtmlRequest Method:POSTStatus Code:200 OKRemote Address:[2400:cb00:2048:1::6810:414]:44...
JSF的工作方式和调试方式–可以使用polyglot吗?
最佳 Java 编程
05-24 240
JSF不是我们通常认为的那样。 这也是一个调试起来可能有些棘手的框架,尤其是在初次遇到时。 在这篇文章中,让我们继续探讨为什么会出现这种情况,并提供一些JSF调试技术。 我们将讨论以下主题: JSF不是我们经常想到的 JSF调试的难点 如何系统地调试JSF JSF的工作原理– JSF生命周期 从浏览器调试Ajax请求到服务器再返回 调试JSF前端Javascript...
Hibernate及JSF框架漏洞
小小猪的博客
08-18 1177
Hibernate框架漏洞 Hibernate框架中的HQL注入漏洞 Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作。 所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。 请看这段代码: Input参数即可造成注入。 不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sql语句的拼接,如果是这样的话,自然就不存在SQL注入.
JSF 2.0阅读笔记:视图状态 (四)
iteye_1858的博客
12-29 467
五. 实例验证 下面使用GlassFish v3来测试JSF2.0 RI的ViewState情况。 JSF2.0规范中提供了三个上下文参数来指定应用的ViewState策略,可在web.xml文件中使用context-param元素来配置。第一个是从JSF1.2就流传下来的[b]javax.faces.STATE_SAVING_METHOD[/b],取值为server或client,用...
HTML不能直接发送POST请求,如何在不使用HTML表单的情况下以编程方式向JSF页面发送POST请求?...
weixin_34065550的博客
06-16 236
我有非常简单的JSF bean,如下所示:import org.jboss.seam.annotations.Name;@Name(Sample.NAME)public class Sample {public static final String NAME="df";private String text = "text-test";public void sampleM(){System.o...
ViewExpiredException发生时,如何恢复View视图
WebNMS的博客
01-29 1659
http://stackoverflow.com/questions/3642919/javax-faces-application-viewexpiredexception-view-could-not-be-restored
jsf xhtml调用方法_JSF的工作方式以及调试方法–可以使用polyglot吗?
最佳 Java 编程
06-17 843
jsf xhtml调用方法 JSF不是我们通常认为的那样。 这也是一个调试起来可能有些棘手的框架,尤其是在初次遇到时。 在这篇文章中,让我们继续探讨为什么会出现这种情况,并提供一些JSF调试技术。 我们将讨论以下主题: JSF不是我们经常想到的 JSF调试的难点 如何系统地调试JSF JSF的工作原理– JSF生命周期 从浏览器调试Ajax请求到服务器再返回 调试JS...
asp.net viewstate用法举例
最新发布
05-28
ASP.NET ViewState 是一种用于在 Web 应用程序中跨请求存储数据的机制。以下是一个使用 ViewState 的示例: 假设您有一个页面,其中包含一个文本框和一个按钮。用户在文本框中输入一些文本,然后单击按钮。在单击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值