Actualmente estoy probando una aplicación web ASP.NET para su seguridad. Al hacerlo me encontré con el mecanismo de validación de eventos.
¿Hay alguna manera de evitarlo? ¿Cuánta seguridad hay de que no se puede pasar por alto?
La validación de eventos de ASP.NET proporciona un nivel decente de protección contra algunos ataques de seguridad web específicos, pero no debe considerarse una panacea.
Ha habido vulnerabilidades en la implementación en el pasado como el ASP.NET Null Bypass y también existe son casos en los que puede no entrar en juego (ejemplos aquí y más recientemente aquí ).
Desde el último enlace, hay una cita interesante de Microsoft aquí "El ASP La función de validación de solicitudes de .NET realiza una validación de entrada básica. No confíe en ella. Utilícela como medida de precaución adicional además de su propia validación de entrada. Solo usted puede definir qué es una buena entrada para su aplicación. "
Lea otras preguntas en las etiquetas asp.net injection validation