Mientras leía sobre el estado de visualización como un posible medio para prevenir CSRF, encontré este Microsoft Boletín de seguridad que indica:
Un atacante que explotó exitosamente esta vulnerabilidad podría leer Datos, como el estado de vista, que fue cifrado por el servidor.
Siempre había escuchado que el estado de vista encriptada era seguro. ¿Alguien tiene algún detalle sobre cómo funciona este exploit? Hice algo de google pero no encontré ningún detalle.
Esta es la infame vulnerabilidad de Padding Oracle, este es el documento original que describe la vulnerabilidad en detalle.
La explotación relacionada con el estado de vista dependería en gran medida de la lógica de la aplicación real. Si la información de estado está correctamente encriptada y la integridad verificada, la aplicación (desarrollador) puede suponer con seguridad que los datos incluidos son confiables (por ejemplo, la validación de entrada ya se realizó o los datos se originan en el servidor y no en el cliente). Sin las medidas adecuadas de defensa en profundidad, esto puede causar una situación similar a un TOC-TOU que resulta en un conflicto de seguridad vulnerabilidad.
Ejemplo: PadBuster explota el hecho de que los controladores WebResource / ScriptResource suponen que su parámetro solo puede ser configurado correctamente por el servidor y No comprobé la trayectoria del camino.
Lea otras preguntas en las etiquetas web-application asp.net viewstate