干货 | IIS站ViewState安全问题全解（万字长文）

文章预览

1.什么是ViewState 既然是研究ViewState的问题，我们还是先抱着开发者的心态，简单地了解一下什么是ViewState，以及它是用来解决什么问题的。 首先，我敢打包票，读者在日常渗透测试，尤其是对.NET站点的测试中，一定遇到过下面这样的东西： 响应里可能有一个__VIEWSTATE，不只是响应，你在请求里肯定也会遇到，并且这个参数往往巨长无比，里面肯定包含了什么信息，你肯定会好奇，这到底是什么鬼东西 从名字看来，这就是我们说的viewstate了，那么它到底是干什么的呢？在回答这个问题之前，我们再抛出一个问题，假设我们想让页面持久的保存我们的信息，比方说用户输入一个字符，我们可以把它保存在页面上，继续输入，继续保存。在不使用数据库的情况下，你会怎么做？相信各位师傅都有各种乱七八糟的想法，而在ASP.NET中，viewstate就是为了解决 ………………………………