未加密的

未加密的

警告：本文所涉及内容只可用于交流学习，请勿使用本文提到的内容违反法律，本文和作者不提供任何担保！！！

前言

今天日常测站的时候，AWVS扫到一个“nencrypted __VIEWSTATE parameter（未加密的__VIEWSTATE参数）”，正好看过一个大佬的帖子，手动验证一波（手动滑稽）。

一、漏洞说明

简单理解：

表单提交在遇到服务器返回错误时候，再次填写表单时，上次填写的值不会被清空。

维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState，需在.aspx页面顶部包含提示，或者或者向任意控件添加属性EnableViewState=“false” 。

没有设置维持ViewState，当点击按钮提交，表单值将消失。

__VIEWSTATE 参数未加密，存在有人拦截存储在 ViewState 中的信息的机会。

二、漏洞危害

可能导致敏感信息泄露。（实际利用难度很大）

三、漏洞验证

使用工具：Burp Suite，需要安装插件ViewState Editor，如下图所示：

点击install安装

抓包之后，发送到Repeater,点击send，在回显页面最右侧的下拉选框选择“ViewState”,如下图：

 查查看存在该问题的页面源码，搜索__VIEWSTATE，可以看到对应的value值，对该段值进行base64解码。可以得到对应的信息。

工具（永久有效）

viewstatedecoder2

iewStateDecoder2功能强劲，支持viewstate查看和解码、保存字符串信息的功能。

链接：

提取码：6666

网页工具：.aspx

四、漏洞建议

1. 请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。
2. 打开 Web.Config 并在 元素下添加以下行：如下：

<system.web> <machinekey validation="3DES"></machinekey></system.web>