黑客入侵aspx网站的方法

Question

简介：，我有一个由一些顾问开发的网站。网站的背后是一个登录，用户必须填写8页的表格，然后提交到最后一页。

问题：--他正在使用viewstate加载和保存数据。他只留下了编码(未加密)。任何人都可以使用base64解码来解码视图状态。

问题1:基于这个漏洞(视图状态未加密)，是否有任何潜在的方法来破解信息？

还有一个问题：我不知道他是如何生成cookie的，但是如果我用另一个用户的cookie(使用cookie管理器)代替其他用户的cookie，登录就会被更改。

问题2:是否存在一些黑客可以生成cookie并攻击登录的可能性。.net是生成随机cookie还是开发人员必须根据用户信息生成cookie。

Answer 1

两个问题的答案，

1. 加密viewstate并不困难，您可以在配置文件中为整个网站打开它。除非任何敏感信息存储在viewstate中，否则随着用户数量的增加，加密只会减慢服务器的速度。正确的方法不是加密，而是根本不将任何敏感信息()存储在视图状态中。相反，可以使用会话或服务器端缓存来存储敏感信息，这样就没有人可以访问。理想情况下，您应该得到代码检查，以查看是否将任何敏感信息存储在Viewstate中。
2. 您不能为更改cookie问题做任何事情，因为在没有人参与的情况下，用户有责任注销。如果你登录到你的网站，让其他人麻烦的话，服务器无法确定最初登录的是你还是其他人，除非你定期检查用户的行为等等。许多公司会检查IP地址和其他各种因素，看看是否正在进行cookie劫持，但在同一台机器上，同一个浏览器上，如果你交换两个用户的cookie，除非做了一些高级行为日志来识别用户，否则服务器无法区分它。

ASP.NET的默认表单身份验证非常强，并且加密得很好。除非黑客能够访问machineKey (在web.config中可配置，并且为每台机器唯一生成)，否则黑客无法生成cookie。当然，通过更改配置，可以使算法更强大。但不管怎么说，违约都相当严重。