- csharp/
- C# 为了破坏web应用程序,可以使用_VIEWSTATE和_EVENTVALIDATION进行研究吗?
C# 为了破坏web应用程序,可以使用_VIEWSTATE和_EVENTVALIDATION进行研究吗?
C# 为了破坏web应用程序,可以使用_VIEWSTATE和_EVENTVALIDATION进行研究吗?,c#,asp.net,viewstate,C#,Asp.net,Viewstate,我现在正在学习ASP.NET,我对uu VIEWSTATE和u EVENTVALIDATION有点困惑
是否有可能读取这两个项目的值,以了解应用程序的内部结构,并可能对其进行操作。例如,人们写道_VIEWSTATE包含关于元素属性的信息,这些元素不会通过回发发送回来,例如标签。难道不可能操纵应用程序中标签的值,使其显示错误的信息吗
是否有可能将_VIEWSTATE的值更改为更大的值,以便在将其发回服务器时,会增加解压缩和/或描述信息的严重开销,从而基本上造成DDOS
是的,如果您不使用机器密钥加
我现在正在学习ASP.NET,我对uu VIEWSTATE和u EVENTVALIDATION有点困惑
是否有可能读取这两个项目的值,以了解应用程序的内部结构,并可能对其进行操作。例如,人们写道_VIEWSTATE包含关于元素属性的信息,这些元素不会通过回发发送回来,例如标签。难道不可能操纵应用程序中标签的值,使其显示错误的信息吗
是否有可能将_VIEWSTATE的值更改为更大的值,以便在将其发回服务器时,会增加解压缩和/或描述信息的严重开销,从而基本上造成DDOS
是的,如果您不使用机器密钥加密它。请阅读以下内容:
加密和ViewState MAC在这里很有帮助。请阅读以下内容:
是的,但是它只会对该客户端显示不正确。当您读取这些值以执行业务逻辑时,就会变得危险。一般来说,web应用程序从不信任来自客户端的信息。viewstate的值被散列,以尝试检测ASP.NET默认设置的修改,但仍可以由有足够意愿的人操纵
是的,它只是从客户那里收到的表单上的一个字段。因此,它可以被操纵
是,可以读取viewstate的值。它是base64编码的,这并不意味着它是加密的,所以要读取它的值,您只需将它从base64转换为UTF-8,就可以读取它的内容。将列出每个控件及其若干属性。关于操作内容,这是可能的,但很困难,因为内容在服务器端处理之前经过验证
是的,这是可能的,如果您的站点是攻击的目标,并且发送了大量的大型请求和大型ViewState,那么它将对服务器产生相应的影响
请看以下内容:
谢谢大家的好答案!