사이트에서 보안 테스트를 수행하기 위해 Burp Suite을 사용했으며 ViewState를 감지하면 자동으로 MAC을 사용할 수 있는지 여부를 알려줍니다.페이지를 크롤링 할 때 ViewState에 MAC이 활성화되었는지 확인하는 방법은 무엇입니까?
실제로 ViewState를 수정하려고 시도하지 않고 사이트를 크롤링하는 경우 MAC을 사용할 수 있는지 결정하는 프로그램 방식을 알고 있다면 궁금합니다.
나는 Burp Suite가 요청을보고 (수정 및 제출하지 않음) 이것을 수행한다고 말할 수 있습니다.
기본적으로 ViewStates는 BASE64로 인코딩 된 문자열입니다. 그래서 당신이 할 수있는 것은 BASE64 디코더로 디코딩하려고 시도하는 것입니다. 암호화되어 있다면 정말 읽을 수없는 바이너리 컨텐트를 얻을 수 있습니다. 암호화를 사용하지 않으면 내용을 볼 수 있습니다. 예를 들어 Fiddler2은 브라우저에서 ViewState를 해독하는 데 도움을 줄 수 있습니다. viewstate가이 MAC이 후 사용할 수 있습니다
경우,이 시스템의 보안이 비밀 키 값의 비밀에있다 :
지금 또한 MAC을 사용하는 옵션이 있습니다. 이 값은 서버에 항상 메모리에 저장되거나 파일 (자세한 내용은 나중에 설명 됨)에 저장됩니다.이 값은 페이지에 기록되지 않습니다. 키를 알고 있지 않으면 공격자가 유효한보기 상태 해시를 계산할 수있는 방법이 없습니다. MSDN "View State Security"에서
.
VIEWSTATE (암호화되지 않은 경우)를 디코딩하고 ViewState 구조 끝에 20 바이트 해시가 있는지 확인하여 확인할 수 있습니다.
stackexchange 사이트 간 교차 게시는 매우 권장되지 않습니다. http://security.stackexchange.com/questions/39500/how-to-determine-if-viewstate-has-mac-enabled-when-crawling-a-page –