可以将__VIEWSTATE和__EVENTVALIDATION用于研究以破坏Web应用程序吗？

Question

我现在正在学习ASP.NET,我对__VIEWSTATE和__EVENTVALIDATION感到有点困惑.

1. 是否有可能读取这两个项目的值,以了解应用程序的内部并可能操纵它.例如.人们写道__VIEWSTATE包含有关未通过POSTBACK发回的元素属性的信息,例如标签.难道不可能操纵应用程序中的标签值使其显示错误的信息吗？

2. 是否可以使用更大的值更改__VIEWSTATE的值,以便在将其发布回服务器时,会增加解压缩和/或索引信息的严重开销,从而基本上制作DDOS？

Answer 1

1. 是的,可以读取视图状态的值.它是base64编码的,并不意味着它是加密的,所以要读取它的所有你需要做的是将它从base64转换为UTF-8,你将能够读取它的内容. 在这里为自己试试每个控件都列出了它们的几个属性.关于操作内容,这是可能的但是困难的,因为在服务器端上处理之前内容被验证.

2. 是的,如果您的站点是攻击的目标,并且大型查看状态发送了大量请求,那么它将对服务器产生相应的影响.

看看以下内容:

• 拒绝服务攻击
• 查看状态信息
• 真正了解观点