我目前正在开发一个使用用户系统的asp.net应用程序
我很好奇数据是如何从客户端实际发送到服务器的。
看起来可以很容易地跟踪正在发送的信息,因为它没有被加密成哈希码或任何东西。这是普通的普通文本
我使用了一个名为“SocketSniff”的应用程序来读取数据
发回的数据似乎使用元素ID及其值存储在scriptmanager中
你知道如何避免剧本管理者显示元素内容吗?
我猜它与ViewState有关,但这根本不起作用。
答案 0 :(得分:0)
我不是安全专家,但加密发送的数据和视图状态是两回事。 当您通过互联网发送数据时,不仅会发送来自您的网络表单的数据,而且整个网络表单都会发送回服务器。 (不使用javascript / AJAX)只有在使用证书时才会加密。你可以轻松购买一个,它不一定非常昂贵。请注意,当您在Google Chrome中调试页面时(数据似乎不会加密),您在发送时会在后台加密。
viewstate用于存储数据和防止页面伪造。它不是100%防弹。但是如果页面对于黑客来说不是很有趣(这种努力通常是不值得的)我不认为你为FBI,CIA或国际银行构建web应用程序所以不要担心。当您更改页面“HTML”并将值添加到不具有(特定值)的元素时。我是个例子。 IIS发现伪造。 IIS使用Id 123发送一个页面,并在特定元素中使用Id 456获取伪造的页面。由于这可能会导致CRUD(创建,检索,更新或删除)操作。现在IIS看到伪造并向用户提供错误。
希望它有所帮助。