Я смотрел веб-приложение, написанное на .NET, которое я проксировал через Burp Suite и не мог определить, полностью ли он защищен от атак CSRF. Я знаю, что если ViewStateMac и ViewStateUserKey установлены в исходном коде, приложение должно быть хорошо защищено. Однако, если у меня нет доступа к исходному коду, как я могу это идентифицировать?Как вы можете проверить, что ViewStateUserKey включен на стороне клиента?
Этот предыдущий вопрос типа StackOverflow задал тот же вопрос, но не совсем удовлетворяет то, что я прошу. (У меня не было достаточно очков репутации, чтобы добавить этот вопрос в комментариях ответа):
Can I see the ViewStateUserKey in html source?
Спасибо, что ответили Леви. Как вы можете догадаться, я делаю тест на проникновение в приложение и не был уверен, могу ли я сделать заявление о том, что он безопасен от CSRF, но я знаю из указанной публикации, что ваши комментарии являются золотыми. – BoogeyMarquez