在ASP.Net 1.1中,最终用户是否可以在将视图数据发送回服务器之前更改视图数据,以使其看起来像是在不存在的下拉列表中选择了项目?我已经尝试使用firebug操作下拉列表中的值,但是服务器似乎忽略了这一点,我假设因为viewstate说该项目不存在,如果它可以更改viewdata来实现这一点那么可能更多问题。
我问,因为我被要求查看我们的某个应用程序的安全性,如果上述情况可能会有很大的安全漏洞。
只是为了澄清我不是在问如何,我不想打破别人的软件我只需要知道它是否需要关注。
希望这是有道理的。
由于
答案 0 :(得分:3)
是的,View State可以被黑客入侵。在ASP.NET 2.0中引入了一个功能,允许一个Encrypt the View State,从而防止这些类型的攻击。</ p>
Hacking View State for Fun & Profit详细说明了如何破解应用程序的视图状态。