Me gustaría auditar mi estado de vista para obtener información que no deseo que se envíe al cliente. ¿Cuáles son los pasos necesarios para descifrar esta información en forma legible por humanos?
¿Cómo descifraré las cookies?
¿Hay alguna herramienta (similar a Firesheep) que ayude con el proceso?
Como se mencionó @blowdart , el valor predeterminado es no cifrar el estado de la vista (de nuevo, creo que se cambió en las últimas versiones).
Si solo desea realizar una auditoría, establezca el estado de la vista en NO cifrado (ya sea el valor predeterminado o apáguelo manualmente), y luego no necesita descifrarlo. Luego, cuando haya terminado, puede volver a activar el cifrado de estado de vista.
Aunque si está asegurando que no haya información confidencial de todos modos, probablemente no necesite el cifrado, simplemente configúrelo para firmar ...
En cuanto a las herramientas, pruebe cualquiera de estas (si no está cifrada):
También encontré esta pregunta sobre el desbordamiento de pila.
Suponiendo que haya activado el cifrado, que no es el predeterminado, ASP.NET usará el sitio web clave de la máquina como la clave utilizada para cifrar y firmar ViewState y las cookies. Como puede configurar las claves de la máquina (para validación y descifrado) a un valor conocido en web.config, puede usar esto para descifrarlas manualmente si es necesario.
La configuración también te permite anular los algoritmos que se utilizan, por lo que deberías establecerlos en web.config también para obtener un punto de inicio conocido.
Por defecto, es 3DES, en ECB con relleno PKCS7, y el propio viewstate es una cadena base 64, por lo que a partir de ahí tomaría la cadena base64, la convertiría a una matriz de bytes y luego presionaría un descifrador 3DES para obtener los datos de vuelta.
Lea otras preguntas en las etiquetas web-application appsec asp.net