es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Manipulación de parámetros en formularios web de ASP.NET

26 May, 2023 Programación

He estado luchando con esto durante semanas. He construido una aplicación ASP.NET Web Forms y está siendo auditada por vulnerabilidades.

Se está utilizando la herramienta Burp para realizar pruebas y es capaz de interceptar y editar los valores del cuadro de texto.

Tengo un formulario simple con un cuadro de texto, un botón y escribo el valor “1234” en mi txtUserID.

Burp es capaz de interceptar la solicitud POST y editar el valor del cuadro de texto txtUserID [enmarcado en negro a continuación] [enter image description here] [2].

Después de editar el cuadro de texto txtUserID, el valor manipulado se refleja en la aplicación.

El sitio funciona con un certificado autofirmado. Se ha habilitado MAC, Viewstate encriptado a nivel de aplicación en el archivo de configuración web [en caso de que sea relevante para esto].

Por favor, ¿puedes ayudarme a solucionar esta vulnerabilidad?

Gracias de antemano.

Tags:  , , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Parece que estás ejecutando una aplicación ASP.NET Web Forms vulnerable a manipulaciones. Para solucionar esta vulnerabilidad, deberías seguir los siguientes pasos:

    1. Implementa un sistema de autenticación seguro, como la autenticación de dos factores, para asegurarte de que sólo los usuarios autorizados pueden acceder a la aplicación.
    2. Usa una conexión segura (HTTPS) con un certificado SSL válido para proteger los datos en tránsito.
    3. Habilita el MAC (Código de Autenticación de Mensajes) para asegurarte de que los datos no sean manipulados en tránsito.
    4. Encripta el Viewstate a nivel de la aplicación en el archivo web.config.
    5. Implementa validación de entrada para asegurarte de que sólo se acepten los datos válidos por la aplicación.
    6. Usa un firewall de aplicaciones web (WAF) para protegerte contra solicitudes maliciosas.

Comments are closed.