Skip Navigation Links
Novas Tecnologias
Ferramentas Adicionais
Ferramentas Adicionais


Dica No :
717
Assunto : ASP.NET
Titulo: Utilizando ViewStateUserKey para aumentar a proteção das páginas

Gostou do texto ? Vote e dê sua opinião! Pontuação atual :

Translate this page now :






Adicione aos Favoritos!
BlogBlogs Rec6 Linkk Ueba Technorati Delicious DiggIt! StumbleUpon



Em ataques a sites é muito comum um hacker disparar uma requisição POST para um formulário no site que ele sabe que espera determinados conjuntos de informações. Disparando esta requisição com dados inválidos e inesperados frequentemente o hacker consegue causar um grande estrago.

Para disfarçar seu endereço IP muitas vezes o hacker não dispara o envio diretamente da sua máquina, mas envia o formulário por e-mail para muitos desavisados que, ao clicarem descuidadamente nos links, causarão o disparo dos dados inválidos para o site vítima.

Para fazer isso em ASP.NET o hacker necessita de um valor de viewstate válido, do contrário o servidor recusa a informação. Mas isso é fácil de conseguir : Basta navegar no site e copiar o campo viewstate.

Para evitar este tipo de ataque o ASP.NET possui um recurso nativo muito bom : Uma propriedade da página chamada viewstateUserKey.

O valor que atribuirmos ao viewStateUserKey será utilizado para gerar o hash do viewstate. Desta forma, se atribuirmos o sessionid a esta propriedade o viewState de cada sessão será diferenciado, assim sendo o hacker não poderá copiar o viewState de uma sessão para outra pois o valor estará inválido.

Claro que não adianta nada atribuir um valor fixo a esta propriedade, é o mesmo que nada. O ideal é realmente atribuir o sessionID a esta propriedade. Veja como fica :

ViewStateUserKey = Session.SessionID

Você pode colocar isso no page_init de todas as páginas ou criar uma classe base que faça isso e fazer com que as páginas herdem dela.



Nome :
E-mail:
Comentarios :
 
 
Os Últimos Comentários
data: 11/27/2017 6:50:00 PM
nome: HaeRUSasNQqBeMTaz
email: jimosanil0c@hotmail.com
comentário:
aS4rOf http://www.LnAJ7K8QSpfMO2wQ8gO.com

 1  
Dicas
Dica do Dia
Receba Dicas Por Email
E-mail :  
 


 (help)
Aceito receber informativos do devASPNet, informações de eventos e treinamentos

Veja Quais Informativos Você Receberá

Pesquisar Dicas
Pesquisar Artigos, Dicas e Noticias

Banco de Dados
Algumas Entrevistas
Links Importantes

Búfalo Informática, Treinamento e Consultoria
R. Alvaro Alvim, 37/920 Centro - Cinelândia - Rio de Janeiro Cep: 20031-010
Tel : (21) 2262-1368 (21) 9240-5134 E-mail : Contato@bufaloinfo.com.br