我知道有工具可以讓你看到asp.net viewstate的內容。是否可以通過將<machineKey ... />
節點添加到web.config來查看和修改viewState的內容?是否可以解密和查看ViewState值?
7
A
回答
10
當然。 ViewState只是base64
編碼(除非你指定它應該被加密)。這裏有一個寫給ViewState viewer的人的鏈接。這是另一個Fritz Onion。您可能無法直接修改ViewState
(即代碼之外),因爲ASP.NET已進行檢查以確保沒有任何內容被篡改爲ViewState
。有關更多信息,請參閱EnableViewStateMAC設置。
更新
由於腐爛的鏈接,鏈接到不同的觀衆都不再有效。但是,一個簡單的「查看狀態查看器」搜索可以找到互聯網上的其他人,如ASP.NET ViewState viewer
3
1
請看看進到這裏How to decode viewstate我已經提供了完整的源代碼,從視圖狀態字符串獲取StateBag的。加密狀態也可以使用相同的方法解密,但分配密鑰。
相關問題
- 1. 是否可以解密md5?
- 2. 解密加密ViewState
- 3. Rijndael算法和CryptoStream:是否可以加密/解密多線程?
- 4. 是否可以在XPages中查看加密文檔?
- 5. Twitter是否可以查看您的密碼?
- 6. 是否可以解密影子文件?
- 7. 是否可以解密gzip信息?
- 8. 測試以查看導航屬性是否可以檢索值
- 9. 是否有可能在ASP.NET中解碼EventValidation和ViewState?
- 10. 是否可以查看HttpClient的org.apache.http.conn.EofSensorInputStream?
- 11. 是否可以查看文檔?
- 12. 我的VIEWSTATE是否已加密?
- 13. 是否可以解密使用「IonCube」加密加密的文件?
- 14. 我怎樣才能解密此,所以我可以查看它
- 15. 是否可以通過查看HTTP流量來查看是否使用了AJAX?
- 16. 是否可以查看DataTable行中的下一個值?
- 17. 是否可以使用Javascript來加密/解密SQLite數據庫?
- 18. 是否可以查詢ErrorProvider以查看是否設置了錯誤?
- 19. freemarker查看頁面是否可以'用戶'編輯和保護?
- 20. Keras - 是否可以查看模型的重量和偏差
- 21. 是否可以查看一個和零個二進制文件?
- 22. 是否可以同時查看Graphic layout和layout.xml?
- 23. 查看密碼是否等於變量
- 24. 是否可以使用DES中的DES算法加密和解密zip文件
- 25. 如何查看我的視圖是否可以看到?
- 26. 外部API查詢:用戶是否可以看到我的密碼?
- 27. 是否可以使用動態密鑰來查看json內部的字段?
- 28. 我可以檢查並查看是否爲ipv4輸入了值嗎?
- 29. 是否可以測試正則表達式以查看它是否減少爲:*
- 30. 使用DD查看all_constraints以檢查FK約束是否可行
同意,但問題是否可以解密。假設Abe知道他在說什麼,他不是在談論base64 _encoding_,而是關於_encrypted_ viewstate,然後使用base64對其進行編碼。問題是你不能解密它(這就是整個問題),不,你不能改變它,即使你可以,MAC(消息認證碼)將失敗,服務器將拒絕 – Henri 2010-04-15 21:55:26
@亨利 - 我相信安倍正在談論他自己的網站,而不是別人的網站。如果它是你自己的站點,並且你在'machineKey'元素中指定了'decryptionKey'屬性,那麼你可以使用相同的方法來解密ViewState,就像用於加密它(無論是在加密之前還是之後進行base64編碼)不知道),因爲你知道鑰匙。如果你沒有指定'decryptionKey',那麼它是自動生成的,我懷疑是否有辦法獲得該密鑰。如果禁用'enableViewStateMAC'(當然,你永遠不應該這樣做),你可以在代碼外改變'ViewState'。 – Thomas 2010-04-15 23:15:52
謝謝亨利,這就是我的意思。如果你想發佈這個答案,我會接受它。 – 2010-04-19 15:00:55