廣告：

【中危】未加密的__VIEWSTATE參數(shù)（UNENCRYPTED__VIEWSTATE PARAMETER）

漏洞描述

’__VIEWSTATE參數(shù)未加密。為了減少某人攔截存儲(chǔ)在ViewState中的信息的機(jī)會(huì)，最好對(duì)ViewState進(jìn)行加密。為此，請(qǐng)將machineKey驗(yàn)證類型設(shè)置為AES。這指示ASP.NET使用“高級(jí)加密標(biāo)準(zhǔn)”對(duì)ViewState值進(jìn)行加密

漏洞危害

可能的敏感信息泄露

漏洞證明

BP抓包

可在響應(yīng)包頁面的viewstate中發(fā)現(xiàn)，自動(dòng)解密

在這里插入圖片描述

VIEWSTATEDECODER2工具解密

在這里插入圖片描述

修復(fù)建議

在 Web.Config 文件的元素之下，添加下面這一行：

<system.web> <machinekey validation="3DES"></machinekey></system.web>

廣告：