gpt4 book ai didi

ASP.Net 1.1 View 状态安全

转载 作者:行者123 更新时间:2023-12-02 19:22:12 24 4
gpt4 key购买 nike

在 ASP.Net 1.1 中,最终用户是否可以在将 View 数据发送回服务器之前更改 View 数据,例如使其看起来像是在不存在的下拉列表中选择了一个项目?我尝试使用 firebug 操作下拉列表中的值,但服务器似乎忽略了这一点,我推测是因为 View 状态表示该项目不存在,但是如果可以更改 View 数据来实现此目的,那么可能会更多一个问题。

我这么问是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,则可能存在很大的安全漏洞。

只是为了澄清,我不是问如何,我不想破坏别人的软件,我只是需要知道它是否值得关注。

希望这是有道理的。

谢谢

最佳答案

是的, View 状态可以被黑客攻击。 ASP.NET 2.0 中引入了一项功能,允许 Encrypt the View State从而防止此类攻击。

Hacking View State for Fun & Profit详细介绍了如何破解应用程序的 View 状态。

关于ASP.Net 1.1 View 状态安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1049159/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com