未加密的__VIEWSTATE参数
本文转自默默提升实验室 并作补充
0. 知识补充
表单提交在遇到服务器返回错误时候,再次填写表单时,上次填写的值不会被清空。
维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState,需在.aspx页面顶部包含提示<%@Page EnableViewState=“false” %>,或者或者向任意控件添加属性EnableViewState=“false” 。
没有设置维持ViewState,当点击按钮提交,表单值将消失。
ViewState是如何使用的
ViewState 基本上由服务器生成,并以隐藏的表单字段 “_VIEWSTATE” 的形式发送给客户端,用于“POST”请求。当Web应用程序进行 POST 请求时,客户端将其发送到服务器。
ViewState 以序列化数据的形式出现,当客户端再次进行请求(ViewState)被发送到服务器时,将进行反序列化。
为了使 ViewState 不受篡改,存在一个启用 ViewState MAC 的选项,通过设置一个值并在反序列化期间对 ViewState 的值进行完整性检查。
1. 漏洞描述
__VIEWSTATE 参数未加密,存在有人拦截存储在 ViewState 中的信息的机会。
2. 漏洞危害
可能导致敏感信息泄露。
3. 漏洞验证
使用工具:Burp Suit,需要安装插件ViewState Editor,如下图所示:
POC:{EXTRACTED_STRINGS}:string= -2140192582
查看存在该问题的页面源码,搜索__VIEWSTATE,可以看到对应的value值,对该段值进行base64解码。可以得到对应的信息,在Burp Suit中使用 ViewState Decoder插件可以进行解码。
其他解码工具
网页:https://www.httpdebugger.com/tools/ViewstateDecoder.aspx
软件:ViewStateDecoder2.0.exe
4. 漏洞建议
请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。
打开 Web.Config 并在 <system.web> 元素下添加以下行:
如下:
<system.web> <machinekey validation="3DES"></machinekey></system.web>
关于ViewState的相关demo案例:ViewState 反序列化及其利用
