【中危】未加密的__VIEWSTATE參數（UNENCRYPTED__VIEWSTATE PARAMETER）

漏洞描述

’__VIEWSTATE參數未加密。為了減少某人攔截存儲在ViewState中的信息的機會，最好對ViewState進行加密。為此，請將machineKey驗證類型設置為AES。這指示ASP.NET使用“高級加密標準”對ViewState值進行加密

漏洞危害

可能的敏感信息泄露

漏洞證明

BP抓包

可在響應包頁面的viewstate中發現，自動解密

在這里插入圖片描述

VIEWSTATEDECODER2工具解密

在這里插入圖片描述

修復建議

在 Web.Config 文件的元素之下，添加下面這一行：

<system.web> <machinekey validation="3DES"></machinekey></system.web>