原文链接:https://blog.csdn.net/qq_44828901/article/details/122218593
前言
今天日常测站的时候,AWVS扫到一个“nencrypted __VIEWSTATE parameter(未加密的__VIEWSTATE参数)”,正好看过一个大佬的帖子,手动验证一波(手动滑稽)。
一、漏洞说明
简单理解:
表单提交在遇到服务器返回错误时候,再次填写表单时,上次填写的值不会被清空。
维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState,需在.aspx页面顶部包含提示,或者或者向任意控件添加属性EnableViewState=“false” 。
没有设置维持ViewState,当点击按钮提交,表单值将消失。
__VIEWSTATE 参数未加密,存在有人拦截存储在 ViewState 中的信息的机会。
二、漏洞危害
可能导致敏感信息泄露。(实际利用难度很大)
四、漏洞建议
请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。
打开 Web.Config 并在 元素下添加以下行:如下:
<system.web> <machinekey validation="3DES"></machinekey></system.web>