未加密的__VIEWSTATE参数（中危）

原文链接：https://blog.csdn.net/qq_44828901/article/details/122218593

前言

今天日常测站的时候，AWVS扫到一个“nencrypted __VIEWSTATE parameter（未加密的__VIEWSTATE参数）”，正好看过一个大佬的帖子，手动验证一波（手动滑稽）。

一、漏洞说明
简单理解：
表单提交在遇到服务器返回错误时候，再次填写表单时，上次填写的值不会被清空。

维持ViewState是ASP.NET Web Forms的默认设置。如果你想不维持ViewState，需在.aspx页面顶部包含提示，或者或者向任意控件添加属性EnableViewState=“false” 。

没有设置维持ViewState，当点击按钮提交，表单值将消失。

__VIEWSTATE 参数未加密，存在有人拦截存储在 ViewState 中的信息的机会。

二、漏洞危害

可能导致敏感信息泄露。（实际利用难度很大）

四、漏洞建议
请将machineKey验证类型设置为AES。这将使得 ASP.NET 使用AES算法加密ViewState 值。
打开 Web.Config 并在 元素下添加以下行：如下：
<system.web> <machinekey validation="3DES"></machinekey></system.web>