关于viewstate保护问题

最新推荐文章于 2024-12-01 12:48:25 发布
转载 最新推荐文章于 2024-12-01 12:48:25 发布 · 510 阅读 · 0
文章标签:

#validation #asp.net #加密 #算法 #服务器

本文介绍了ASP.NET中保护ViewState的两种方法:防篡改和加密。防篡改通过散列码确保ViewState不被恶意修改;而加密则能进一步保护ViewState的安全性。

常用保护viewstate有两种方式:

1、防篡改

防篡改,使用散列代码.

在页面顶部加入如下代码:Page EnableViewStateMAC=true

asp.net就会自动的在viewstate中追加一个散列码,

在页面回传时,服务器根据回传的viewstate生成一个散列码,

再与回传的散列码相比较,如果不对,则丢弃该viewstate,同时控件将恢复初试状态.

(默认情况下asp.net是通过SHA1算法而不是md5算法来生成散列,不过这个可以在machine.config里面配置machineKey validation="MD5"即可)

 

2、加密

viewstate加密, 只要在machine.config里设置一下machineKey validation="3DES"即可实现用des加密viewstate了.

Mojarra JSF ViewState 反序列化漏洞复现
0xSec
01-10 2267
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中最常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
WebForms ViewState 深入解析
xyq2024的博客
08-05 468
ViewStateASP.NET WebForms框架中的一个机制,用于在客户端和服务器之间保持控件的状态。每当页面回发到服务器时,ViewState会自动保存每个控件的状态,包括其值和属性。这样,服务器就可以根据这些信息重新渲染页面,保持用户的操作状态。
Java安全之Mojarra JSF反序列化
dzqxwzoe的博客
05-29 1489
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多JavaServlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用JSF 和类似的 Web 技术之间的区别在于 JSF 使用。
ViewStateUserKey使ViewState更防篡改
09-25 278
Here's a little-known but very useful no-brainer to add to your ASP.NET application's base Page.这是一个鲜为人知但非常有用的提示,它可以添加到ASP.NET应用程序的基本页面中。 void Page_Init (Object sender, EventArgs e){ if (User.Ident...
如何重写WebForm的ViewState 加密过程
qq_32915337的博客
01-16 765
问题描述 就是EnableViewStateMAC="true"ViewStateEncryptionMode="Always"设置这俩属性后,执行的加密~~~~~~求解,领导让我想办法重写加密过程,使用自定义的密钥128位的 解决方案 解决方案二: 设置machineKey和加密算法validation就行了,为什么要自己写呢 解决方案三: 引用1楼autfish的回
ViewState
04-05
为了解决这个问题ASP.NET引入了ViewStateViewState的工作原理是将页面控件的状态信息编码为一个隐藏的HTML字段,并将其包含在发送到浏览器的HTML响应中。当用户提交表单时,这个隐藏字段连同其他表单数据一起...
Validation of viewstate MAC failed.的解决方法
09-30
### Validation of viewstate MAC failed 的解决方法 在 ASP.NET 应用程序中,经常会...通过以上步骤,我们可以有效地解决“Validation of viewstate MAC failed”这一问题,并确保 ASP.NET 应用程序的安全稳定运行。
viewstate视图状态解码
06-26
1. 数据加密:为了保护信息的安全性,Viewstate的数据通常会被加密ASP.NET使用默认的机器密钥对数据进行AES加密。 2. 数据压缩:为了减少网络传输的开销,ASP.NET还会自动对Viewstate数据进行GZIP或Deflate压缩。 ...
ViewState和回发
04-01
ViewState的工作原理是,ASP.NET会在每个Web表单页的HTML源代码中插入一个隐藏的INPUT字段,这个字段包含了页面所有控件的状态信息,经过Base64编码和加密处理,以保护数据的安全性。在回发时,服务器会解码并使用...
在 JavaServer Faces (JSF) 框架中,javax.faces.view 包提供了与视图相关的核心类和接口
BLOG域名:programb.blog.csdn.net
04-24 223
以上只是JSF框架中一部分常用包和类的概述。要深入了解这些类和接口的功能和使用方法,建议查阅JSF的官方文档和教程。Application:代表JSF应用程序的上下文,提供了应用程序范围内的服务,如创建和管理转换器、验证器、监听器、导航处理程序等。Lifecycle:代表JSF生命周期的接口,定义了处理请求的各个阶段(如恢复视图、应用请求值、验证和更新模型值、渲染响应等)。ListDataModel、ArrayDataModel等:DataModel的实现类,用于处理列表和数组类型的数据。
vulhub漏洞复现39_Mojarra
weixin_44193247的博客
02-09 928
vulhub漏洞复现练习篇
JSF的工作方式和调试方式–可以使用polyglot吗?
最佳 Java 编程
05-24 346
JSF不是我们通常认为的那样。 这也是一个调试起来可能有些棘手的框架,尤其是在初次遇到时。 在这篇文章中,让我们继续探讨为什么会出现这种情况,并提供一些JSF调试技术。 我们将讨论以下主题: JSF不是我们经常想到的 JSF调试的难点 如何系统地调试JSF JSF的工作原理– JSF生命周期 从浏览器调试Ajax请求到服务器再返回 调试JSF前端Javascript...
Mojarra JSF ViewState 反序列化漏洞
黑白的博客
12-27 3006
声明 好好学习,天天向上 漏洞描述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 影响范围 2.1.29-08前 2.0.11-04前 复现过程 这里使用2.1.28版本 使用vulhub /app/vulhub-master/mojarra/jsf-view
JavaServer Faces(JSF)框架入门与实践:教程与jar包指南
最新发布
weixin_42576410的博客
12-01 1193
本文还有配套的精品资源,点击获取 简介:JavaServer Faces(JSF)是一个用于构建Web应用的MVC框架,包含丰富的UI组件和完整的生命周期管理。教程将介绍JSF的核心概念,如组件库、视图、模型、控制器,以及如何使用jar包配置开发环境。学习JSF的重要性在于其组件驱动的开发方式、强大的集成性、易维护性以及活跃的社区支持。入门步骤涵盖环境配置、项目创建、页面编...
python爬虫requests.post()_python爬虫学习(二)分析post请求
weixin_39864571的博客
11-23 744
Introducation本文将接上文详细分析post的请求和响应数据GeneralGeneralRequest URL:https://www.gebiz.gov.sg/ptn/opportunity/BOListing.xhtmlRequest Method:POSTStatus Code:200 OKRemote Address:[2400:cb00:2048:1::6810:414]:44...
HTML不能直接发送POST请求,如何在不使用HTML表单的情况下以编程方式向JSF页面发送POST请求?...
weixin_34065550的博客
06-16 303
我有非常简单的JSF bean,如下所示:import org.jboss.seam.annotations.Name;@Name(Sample.NAME)public class Sample {public static final String NAME="df";private String text = "text-test";public void sampleM(){System.o...
ViewState查看工具解析HTML中的ViewState字段值
查看器可以帮助开发者检查`ViewState`是否被正确保护。 4. **学习与教学**:对于初学者或教学用途,viewstate查看器能够帮助理解ASP.NET的状态管理机制及其内部结构。 ### ViewState查看工具的工作原理 "viewstate...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值