¿Qué es ViewState sin cifrar?

Fecha: 14 de diciembre de 2024



El parámetro VIEWSTATE no Cifrado es una vulnerabilidad con severidad media de tipo configuración.

Si en la aplicación el parámetro ViewState no está cifrado, expone información sensible a la interceptación y manipulación por parte de atacantes. Esto puede permitir ataques como:

  • Divulgación de información sensible: Exposición de credenciales de autenticación, datos personales y otros datos confidenciales almacenados en el ViewState.
  • Sesión fijación: Ataques que permiten a un atacante tomar el control de la sesión de un usuario legítimo.
  • Manipulación del estado de la aplicación: Posibilidad de alterar el comportamiento de la aplicación y realizar acciones no autorizadas.

Cómo detectar si su aplicación tiene esta vulnerabilidad

  • Inspección manual: Revisar el código fuente HTML de las páginas para identificar el parámetro ViewState y analizar su contenido.
  • Análisis de tráfico HTTP: Utilizar herramientas como Burp Suite o OWASP ZAP para interceptar y examinar el tráfico HTTP y buscar el ViewState sin cifrar.
  • Escáneres de vulnerabilidades: Emplear escáneres automatizados para detectar esta vulnerabilidad.

Le recomendamos en caso de que su aplicativo use ViewState

  • Cifrar el ViewState: Configurar el atributo validation de machineKey en web.config para utilizar el algoritmo AES:

<system.web>

<machineKey validation="AES" decryptionKey="..." decryption="Auto" />

</system.web>

  • Generar claves fuertes: Utilizar un generador de números aleatorios criptográficamente seguro para crear claves machineKey únicas y complejas.
  • Rotar las claves periódicamente: Implementar un mecanismo para rotar las claves machineKey de forma regular.
  • Realizar pruebas exhaustivas: Verificar que el cifrado se haya implementado correctamente y que no afecte la funcionalidad de la aplicación.
  • Implementar otras medidas de seguridad:

HTTPS: Proteger toda la comunicación con el servidor utilizando HTTPS.

XSS: Implementar medidas para prevenir ataques de Cross-Site Scripting (XSS).

WAF: Considerar el uso de un Web Application Firewall (WAF) para proteger la aplicación contra diversas amenazas.

Referencias:


https://devblogs.microsoft.com/dotnet/cryptographic-improvements-in-asp-net-4-5-pt-2/

https://appetere.com/post/working-with-viewstate


Tags:  VIEWSTATE XSS

Estadísticas de Incidentes

Junio 2025

VER TODAS

Boletines de Seguridad
Crítico
ANÁLISIS DE LOGS DE SEGURIDAD ¿COMO DETECTAR AMENAZAS A TIEMPO?

En el ámbito de la ciberseguridad, la detección temprana de amenazas es crucial para prevenir incidentes que puedan comprometer la integridad, confidencialidad y disponibilidad de los sistemas y datos.

Crítico
ESCANEO DE VULNERABILIDADES: ¿CÓMO PROTEGER SERVICIOS Y SISTEMAS WEB?

La seguridad de los servicios y sistemas web es fundamental para garantizar la confidencialidad, integridad y disponibilidad de la información.

VER TODOS