Domande con tag 'viewstate'

1
risposta

CSRF in ASP.NET

C'è questo modulo ASP.NET "change password" che ha sia la convalida degli eventi sia il viewstate abilitato. Non ci sono token anti-csrf specifici. Da quanto ho capito, al fine di eseguire un attacco CSRF di successo, un utente malintenzionato d...
posta 15.12.2014 - 11:57
2
risposte

_ _ VIEWSTATE su Protect Against CSRF

Non sono uno sviluppatore .NET e sto cercando di capire esattamente come __ViewState protegge dagli attacchi CSRF / XSRF. Mi sono imbattuto in quanto segue: sicurezza Discussione dello scambio di stack su argomenti simili e Guida OWASP...
posta 18.11.2014 - 07:48
2
risposte

Come determinare se ViewState ha abilitato il MAC durante la scansione di una pagina?

Stavo usando Burp Suite per fare alcuni test di sicurezza su un sito e ho notato che quando rileva ViewState ti dirà automaticamente se ha MAC abilitato. Sono curioso se qualcuno sa di un modo programmatico per determinare se il MAC è abili...
posta 24.07.2013 - 20:12
1
risposta

Lo stato di visualizzazione crittografato è vulnerabile?

Durante la lettura dello stato di visualizzazione come possibile mezzo per prevenire CSRF, mi sono imbattuto in questo Microsoft Bollettino sulla sicurezza che afferma: An attacker who successfully exploited this vulnerability could read...
posta 29.07.2013 - 19:37
1
risposta

Qual è lo scopo della chiave segreta in ViewState ASP.net di MAC?

In base a quanto ho capito dal metodo ViewState in ASP.net , quando il server genera ViewState con MAC attivato, lo invierà al client con MAC calcolato da ViewState messaggio alla fine di ViewState . Quindi, il c...
posta 29.09.2016 - 13:38
0
risposte

Decodifica Viewstate of asp page [closed]

Ho già cercato una risposta e ho visto che lo stato della vista dovrebbe essere codificato in base64. Comunque ho usato il violinista per provare a decodificarlo e la risposta che ottengo è una stringa di strani personaggi. Ecco la parte origina...
posta 29.07.2016 - 03:11
1
risposta

Come ottenere informazioni sulla sessione dal viewstate .NET crittografato?

Sto eseguendo un test di penetrazione per la prima volta in un'applicazione .NET che invece di fornire cookie per la gestione delle sessioni utilizza il campo nascosto viewstate. Sto utilizzando il plugin .NET Beautifier in BURP per decodific...
posta 01.03.2018 - 12:30