在我们的项目中,我们希望保护用户的密码免受匿名攻击者的攻击(通过中间人或任何技术)。所以我正在通过 Fiddler 探索登录页面的 HttpRequest。以下链接将解释我在 Fiddler http://www.sharexfiles.com/image/2015-02-24_113847_0.jpg 中得到的内容。 (请注意请求文本 - 红色和查看状态绿色)。

为了保护 View 状态,我在配置 enableViewStateMac="true" viewStateEncryptionMode="Always" 中添加了以下内容,然后我的 HttpRequest 在链接 http://www.sharexfiles.com/image/2015-02-24_114302.jpg 中如下所示。请注意这里的绿色和红色块。

我的问题基于上述内容,我的 View 状态已加密(即绿色块)但我的请求未加密(红色块),因此我的密码清晰可见。攻击者是否可以通过任何方式获得此请求(红色块)以了解用户的密码?无论如何我可以检查我发送的请求是否从客户端到服务器是安全的?

注意:我在这个项目中使用 SSL (HTTPS)。最好为此提供答案。

谢谢你的帮助。 :)

最佳答案

如果您使用的是 https,那么您只能看到这些请求,因为您允许 Fiddler 通过启用 https decryption 来充当中间人。

如果您想查看攻击者实际可以看到的内容,您应该使用类似 Wireshark 的工具。您会看到攻击者看不到您的密码。

另一个选择显然是在 Fiddler 中禁用 http 解密。

关于c# - 在asp.net页面中保护密码viewstate,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/28687887/

10-12 18:39
查看更多