我正在查看一个用 .NET 编写的 Web 应用程序,我通过 Burp Suite 代理该应用程序,但无法判断它是否完全免受 CSRF 攻击。我知道如果在源代码中设置 ViewStateMac 和 ViewStateUserKey,应用程序应该受到很好的保护。但是,如果我无法访问源代码,我如何才能识别这一点?
之前的 StackOverflow 问题提出了同样的问题,但并没有完全解决我的问题。 (我没有足够的声誉点,无法在答案的评论中添加此问题):
最佳答案
没有办法推断出这个客户端。检查服务器上的源代码是确定的唯一方法。但是,您可以尝试对自己的应用程序发起 CSRF 攻击,作为在服务器上正确检查 VSUK 的简短内部检查测试。
关于asp.net - 如何验证客户端是否启用了 ViewStateUserKey?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25918553/