2
我正在研究用.NET編寫的Web應用程序,我通過Burp Suite進行代理,並且無法分辨它是否完全免受CSRF攻擊。我知道如果在源代碼中設置ViewStateMac和ViewStateUserKey,應用程序應該得到很好的保護。但是,如果我無法訪問源代碼,我將如何識別此問題?您如何驗證客戶端上啓用ViewStateUserKey?
這個以前的StackOverflow問題有點問同樣的問題,但沒有完全解決我問的問題。 (我沒有足夠的聲譽指向答案的評論添加此問題):
Can I see the ViewStateUserKey in html source?
感謝您回覆列維。正如你所猜測的那樣,我正在對應用程序進行滲透測試,並不確定是否可以從CSRF做出安全聲明,但我從引用的帖子中知道你的評論是黃金。 – BoogeyMarquez 2014-09-19 02:34:26