漏洞:CSRF跨站点请求伪造;现已经尝试:
protected void Page_Init(object sender, EventArgs e)
{
this.ViewStateUserKey = Session.SessionID;
}
但页面报错,后在aspx的:<%@ Page 中增加EnableViewStateMac="false" 不报错了,但依然无法通过漏洞扫描。
aspx的页面中有Timer控件是循环执行,发现每次执行都会更新this.ViewStateUserKey = Session.SessionID;
不知道是不是此原因导致this.ViewStateUserKey = Session.SessionID;无法解决此漏洞。请求大家帮助,是否有其他可行的方式,请尽可能提供源代码供参考!万分感谢!
protected void Page_Init(object sender, EventArgs e)
{
this.ViewStateUserKey = Session.SessionID;
}
但页面报错,后在aspx的:<%@ Page 中增加EnableViewStateMac="false" 不报错了,但依然无法通过漏洞扫描。
aspx的页面中有Timer控件是循环执行,发现每次执行都会更新this.ViewStateUserKey = Session.SessionID;
不知道是不是此原因导致this.ViewStateUserKey = Session.SessionID;无法解决此漏洞。请求大家帮助,是否有其他可行的方式,请尽可能提供源代码供参考!万分感谢!
不太清楚。。但你关了应该是过不了漏洞扫描的EnableViewStateMac为false,就不会去验证加密的视图状态在客户端上是否未被篡改这样应该是通不过漏洞扫描。。
int sessionID = Convert.ToInt32(Request.QueryString("sessionid"));if(sessionID == Session.SessionID)
{
}解决get请求