Los estados de vista son básicamente cadenas codificadas en BASE64. Entonces, lo que puede hacer es tratar de decodificarlos con un decodificador BASE64. Si está encriptado obtendrá un contenido binario que no es realmente legible. Si no se utiliza ningún cifrado, podrá ver el contenido. Por ejemplo, Fiddler2 puede ayudarlo a decodificar ViewStates en su navegador.
Ahora también existe la opción de usar un MAC:
Si el estado de vista tiene su MAC habilitado, entonces la seguridad de este
El sistema reside en el secreto del valor de la clave secreta. Este valor es
Siempre almacenado en el servidor, ya sea en memoria o en una configuración
Archivo (más sobre esto más adelante): nunca se escribe en la página. Sin
sabiendo la clave, no habría forma de que un atacante calcule un
hash de estado de vista válido.
de MSDN "Ver seguridad del estado" .
Puede verificar esto descodificando VIEWSTATE (si no está cifrado) y verifique si hay un hash de 20 bytes al final de la estructura de ViewState.