未加密的__VIEWSTATE参数
漏洞简述
由于__VIEWSTATE参数配置错误,攻击者可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。
漏洞例子
漏洞修复
修改web.config文件<system.web>里面,加入VIEWSTATE防篡改和加密选项:
Last updated
Was this helpful?
由于__VIEWSTATE参数配置错误,攻击者可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。
Last updated
Was this helpful?
Was this helpful?
防篡改:<%@ Page EnableViewStateMAC=true %>
设置加密:<%@ Page ViewStateEncryptionMode="Always" %>,<machineKey validation="" decryptionKey="">,加密算法可选3DES/AES/SHA1等。
列如:
<pages enableViewStateMac="true" viewStateEncryptionMode="Always" />
<machineKey validation="81bb3feccb8733de50535d207f4e41c14b91b6ba"
decryptionKey="81bb3feccb8733de50535d207f4e41c14b91b6ba" />