在 ASP.Net 1.1 中,最终用户是否可以在将视图数据发送回服务器之前更改视图数据,例如使其看起来像是在不存在的下拉列表中选择了一个项目?我尝试使用 firebug 操作下拉列表中的值,但服务器似乎忽略了这一点,我推测是因为视图状态表示该项目不存在,但是如果可以更改视图数据来实现此目的,那么可能会更多的一个问题。
我这么问是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,则可能存在很大的安全漏洞。
只是为了澄清,我不是问如何,我不想破坏别人的软件,我只是需要知道它是否值得关注。
希望这是有道理的。
Thanks
是的,视图状态可以被黑客攻击。 ASP.NET 2.0 中引入了一项功能,允许人们加密视图状态 http://msdn.microsoft.com/en-us/library/aa479501.aspx从而防止此类攻击。
黑客视图状态的乐趣和利润 http://www.cyphersec.com/?p=294详细介绍了如何破解应用程序的视图状态。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)