Estoy realizando una prueba de penetración por primera vez en una aplicación .NET que, en lugar de proporcionar cookies para la administración de sesiones, utiliza el campo oculto de ViewState.
Estoy utilizando el complemento .NET Beautifier en BURP para decodificar el valor del parámetro viewstate, pero dice que está cifrado y no se puede decodificar.
La versión de ASP.NET es 4.0.xx. ¿Esta versión siempre cifra el VIEWSTATE con una clave almacenada en el servidor? ¿Qué tan seguro es?