本文主要是介绍未加密的__VIEWSTATE参数(中危),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
警告:本文所涉及内容只可用于交流学习,请勿使用本文提到的内容违反法律,本文和作者不提供任何担保!!!
前言
今天日常测站的时候,AWVS扫到一个“nencrypted __VIEWSTATE parameter(未加密的__VIEWSTATE参数)”,正好看过一个大佬的帖子,手动验证一波(手动滑稽)。
一、漏洞说明
简单理解:
表单提交在遇到服务器返回错误时候,再次填写表单时,上次填写的值不会被清空。
维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState,需在.aspx页面顶部包含提示,或者或者向任意控件添加属性EnableViewState=“false” 。
没有设置维持ViewState,当点击按钮提交,表单值将消失。
__VIEWSTATE 参数未加密,存在有人拦截存储在 ViewState 中的信息的机会。
二、漏洞危害
可能导致敏感信息泄露。(实际利用难度很大)
三、漏洞验证
使用工具:Burp Suite,需要安装插件ViewState Editor,如下图所示:
点击install安装
抓包之后,发送到Repeater,点击send,在回显页面最右侧的下拉选框选择“ViewState”,如下图:
查查看存在该问题的页面源码,搜索__VIEWSTATE,可以看到对应的value值,对该段值进行base64解码。可以得到对应的信息。
工具(永久有效)
viewstatedecoder2
iewStateDecoder2功能强劲,支持viewstate查看和解码、保存字符串信息的功能。
链接:https://pan.baidu.com/s/1BGPoNnkSihvMx7edMS0UFg
提取码:6666
网页工具:https://www.httpdebugger.com/tools/ViewstateDecoder.aspx
四、漏洞建议
- 请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。
- 打开 Web.Config 并在 元素下添加以下行:如下:
<system.web> <machinekey validation="3DES"></machinekey></system.web>这篇关于未加密的__VIEWSTATE参数(中危)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
