Preguntas con etiqueta 'viewstate'

1
respuesta

CSRF en ASP.NET

Hay un formulario ASP.NET de "cambio de contraseña" que tiene la validación de eventos y viewstate habilitados. No hay fichas específicas anti-csrf. Según entiendo, para ejecutar un ataque CSRF exitoso, un atacante tendrá que poder obtener tanto...
hecha 15.12.2014 - 11:57
2
respuestas

_ _ VIEWSTATE para protegerse contra CSRF

No soy un desarrollador .NET y estoy tratando de entender cómo protege exactamente __ViewState contra los ataques CSRF / XSRF. Encontré lo siguiente: security Debate de intercambio de pila sobre un tema similar y Guía OWASP para la prot...
hecha 18.11.2014 - 07:48
2
respuestas

¿Cómo determinar si ViewState tiene MAC habilitado cuando se rastrea una página?

Estaba usando Burp Suite para hacer algunas pruebas de seguridad en un sitio y noté que cuando detecta ViewState, automáticamente te lo dirá Si tiene MAC habilitado. Tengo curiosidad por saber si alguien conoce una forma programática de det...
hecha 24.07.2013 - 20:12
1
respuesta

¿El estado de la vista cifrada es vulnerable?

Mientras leía sobre el estado de visualización como un posible medio para prevenir CSRF, encontré este Microsoft Boletín de seguridad que indica:    Un atacante que explotó exitosamente esta vulnerabilidad podría leer   Datos, como el estad...
hecha 29.07.2013 - 19:37
1
respuesta

¿Cuál es el propósito de la clave secreta en ViewState ASP.net de MAC?

De acuerdo con lo que entiendo del método ViewState en ASP.net , cuando el servidor genera el ViewState con MAC habilitado, lo enviará al cliente con el MAC calculado a partir del% co_de Mensaje de% al final del...
hecha 29.09.2016 - 13:38
0
respuestas

Decodificación del estado de visualización de la página asp [cerrado]

Ya busqué una respuesta y vi que el estado de la vista debería estar codificado en base64. Sin embargo, utilicé el fiddler para intentar decodificarlo y la respuesta que obtengo es una cadena de caracteres extraños. Aquí está la parte del estado...
hecha 29.07.2016 - 03:11
1
respuesta

¿Cómo obtener información de la sesión del estado de vista .NET cifrado?

Estoy realizando una prueba de penetración por primera vez en una aplicación .NET que, en lugar de proporcionar cookies para la administración de sesiones, utiliza el campo oculto de ViewState. Estoy utilizando el complemento .NET Beautifier...
hecha 01.03.2018 - 12:30