뷰상태를 디코딩하는 방법
https://stackoverflow.com/questions/22814
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
asp.net 페이지의 viewstate 내용을 확인해야 합니다.viewstate 디코더를 찾았습니다. Fridz Onion의 ViewState 디코더 하지만 viewstate를 얻으려면 페이지의 URL을 요청합니다.내 뷰 상태는 포스트백 후에 형성되고 업데이트 패널 작업의 결과로 제공되므로 URL을 제공할 수 없습니다.viewstate 문자열을 복사하여 붙여넣고 내용을 확인해야 합니다.viewstate의 내용을 보는 데 도움이 되는 도구나 웹 사이트가 있습니까?
해결책
사용 바이올리니스트 응답에서 보기 상태를 가져와 왼쪽 하단 텍스트 상자에 붙여넣은 다음 디코딩합니다.
다른 팁
온라인 ViewState 디코더는 다음과 같습니다.
http://ignatu.co.uk/ViewStateDecoder.aspx
편집하다: 불행하게도 위의 링크는 작동하지 않습니다. 여기 또 다른 ViewState 디코더가 있습니다(댓글에서):
다음은 ViewState 시각화 도우미의 소스 코드입니다. ViewState에 대한 Scott Mitchell의 기사 (25페이지)
using System;
using System.Collections;
using System.Text;
using System.IO;
using System.Web.UI;
namespace ViewStateArticle.ExtendedPageClasses
{
/// <summary>
/// Parses the view state, constructing a viaully-accessible object graph.
/// </summary>
public class ViewStateParser
{
// private member variables
private TextWriter tw;
private string indentString = " ";
#region Constructor
/// <summary>
/// Creates a new ViewStateParser instance, specifying the TextWriter to emit the output to.
/// </summary>
public ViewStateParser(TextWriter writer)
{
tw = writer;
}
#endregion
#region Methods
#region ParseViewStateGraph Methods
/// <summary>
/// Emits a readable version of the view state to the TextWriter passed into the object's constructor.
/// </summary>
/// <param name="viewState">The view state object to start parsing at.</param>
public virtual void ParseViewStateGraph(object viewState)
{
ParseViewStateGraph(viewState, 0, string.Empty);
}
/// <summary>
/// Emits a readable version of the view state to the TextWriter passed into the object's constructor.
/// </summary>
/// <param name="viewStateAsString">A base-64 encoded representation of the view state to parse.</param>
public virtual void ParseViewStateGraph(string viewStateAsString)
{
// First, deserialize the string into a Triplet
LosFormatter los = new LosFormatter();
object viewState = los.Deserialize(viewStateAsString);
ParseViewStateGraph(viewState, 0, string.Empty);
}
/// <summary>
/// Recursively parses the view state.
/// </summary>
/// <param name="node">The current view state node.</param>
/// <param name="depth">The "depth" of the view state tree.</param>
/// <param name="label">A label to display in the emitted output next to the current node.</param>
protected virtual void ParseViewStateGraph(object node, int depth, string label)
{
tw.Write(System.Environment.NewLine);
if (node == null)
{
tw.Write(String.Concat(Indent(depth), label, "NODE IS NULL"));
}
else if (node is Triplet)
{
tw.Write(String.Concat(Indent(depth), label, "TRIPLET"));
ParseViewStateGraph(((Triplet) node).First, depth+1, "First: ");
ParseViewStateGraph(((Triplet) node).Second, depth+1, "Second: ");
ParseViewStateGraph(((Triplet) node).Third, depth+1, "Third: ");
}
else if (node is Pair)
{
tw.Write(String.Concat(Indent(depth), label, "PAIR"));
ParseViewStateGraph(((Pair) node).First, depth+1, "First: ");
ParseViewStateGraph(((Pair) node).Second, depth+1, "Second: ");
}
else if (node is ArrayList)
{
tw.Write(String.Concat(Indent(depth), label, "ARRAYLIST"));
// display array values
for (int i = 0; i < ((ArrayList) node).Count; i++)
ParseViewStateGraph(((ArrayList) node)[i], depth+1, String.Format("({0}) ", i));
}
else if (node.GetType().IsArray)
{
tw.Write(String.Concat(Indent(depth), label, "ARRAY "));
tw.Write(String.Concat("(", node.GetType().ToString(), ")"));
IEnumerator e = ((Array) node).GetEnumerator();
int count = 0;
while (e.MoveNext())
ParseViewStateGraph(e.Current, depth+1, String.Format("({0}) ", count++));
}
else if (node.GetType().IsPrimitive || node is string)
{
tw.Write(String.Concat(Indent(depth), label));
tw.Write(node.ToString() + " (" + node.GetType().ToString() + ")");
}
else
{
tw.Write(String.Concat(Indent(depth), label, "OTHER - "));
tw.Write(node.GetType().ToString());
}
}
#endregion
/// <summary>
/// Returns a string containing the <see cref="IndentString"/> property value a specified number of times.
/// </summary>
/// <param name="depth">The number of times to repeat the <see cref="IndentString"/> property.</param>
/// <returns>A string containing the <see cref="IndentString"/> property value a specified number of times.</returns>
protected virtual string Indent(int depth)
{
StringBuilder sb = new StringBuilder(IndentString.Length * depth);
for (int i = 0; i < depth; i++)
sb.Append(IndentString);
return sb.ToString();
}
#endregion
#region Properties
/// <summary>
/// Specifies the indentation to use for each level when displaying the object graph.
/// </summary>
/// <value>A string value; the default is three blank spaces.</value>
public string IndentString
{
get
{
return indentString;
}
set
{
indentString = value;
}
}
#endregion
}
}
다음은 텍스트 상자에서 viewstate를 읽고 위 코드를 사용하여 그래프로 표시하는 간단한 페이지입니다.
private void btnParse_Click(object sender, System.EventArgs e)
{
// parse the viewState
StringWriter writer = new StringWriter();
ViewStateParser p = new ViewStateParser(writer);
p.ParseViewStateGraph(txtViewState.Text);
ltlViewState.Text = writer.ToString();
}
방금 다른 사람이 언급했듯이 이는 base64로 인코딩된 문자열입니다.과거에는 다음 웹사이트를 사용하여 디코딩했습니다.
2014년 현재 잘 작동하는 또 다른 디코더는 다음과 같습니다. http://viewstatedecoder.azurewebsites.net/
이는 Ignatu 디코더가 "직렬화된 데이터가 유효하지 않습니다."라는 메시지와 함께 실패한 입력에서 작동했습니다(비록 BinaryFormatter 직렬화된 데이터를 디코딩되지 않고 길이만 표시하더라도).
JavaScript-ViewState-파서:
- http://mutantzombie.github.com/JavaScript-ViewState-Parser/
- https://github.com/mutantzombie/JavaScript-ViewState-Parser/
파서는 암호화되지 않은 대부분의 ViewState에서 작동해야 합니다..NET 버전 1에서 사용한 직렬화 형식을 처리하지 않으므로 해당 버전의 구식이므로 실제 상황에서 발생하지 않을 것입니다.
http://deadliestwebattacks.com/2011/05/29/javascript-viewstate-parser/
.NET ViewState 구문 분석
ViewState에 대한 생생한 살펴보기, 1부:
http://deadliestwebattacks.com/2011/05/13/a-spirited-peek-into-viewstate-part-i/
ViewState에 대한 생생한 살펴보기, 2부:
http://deadliestwebattacks.com/2011/05/25/a-spirited-peek-into-viewstate-part-ii/
URL 필드를 무시하고 viewstate를 Viewstate 문자열 상자에 붙여넣기만 하면 됩니다.
이전 버전을 사용하고 있는 것 같습니다.ASP.NET 2.0에서는 직렬화 방법이 변경되었으므로 2.0 버전
이것은 viewstate를 문자열에서 Statebag 코드로 변환하는 "기본".NET 방법입니다.
public static StateBag LoadViewState(string viewState)
{
System.Web.UI.Page converterPage = new System.Web.UI.Page();
HiddenFieldPageStatePersister persister = new HiddenFieldPageStatePersister(new Page());
Type utilClass = typeof(System.Web.UI.BaseParser).Assembly.GetType("System.Web.UI.Util");
if (utilClass != null && persister != null)
{
MethodInfo method = utilClass.GetMethod("DeserializeWithAssert", BindingFlags.NonPublic | BindingFlags.Static);
if (method != null)
{
PropertyInfo formatterProperty = persister.GetType().GetProperty("StateFormatter", BindingFlags.NonPublic | BindingFlags.Instance);
if (formatterProperty != null)
{
IStateFormatter formatter = (IStateFormatter)formatterProperty.GetValue(persister, null);
if (formatter != null)
{
FieldInfo pageField = formatter.GetType().GetField("_page", BindingFlags.NonPublic | BindingFlags.Instance);
if (pageField != null)
{
pageField.SetValue(formatter, null);
try
{
Pair pair = (Pair)method.Invoke(null, new object[] { formatter, viewState });
if (pair != null)
{
MethodInfo loadViewState = converterPage.GetType().GetMethod("LoadViewStateRecursive", BindingFlags.Instance | BindingFlags.NonPublic);
if (loadViewState != null)
{
FieldInfo postback = converterPage.GetType().GetField("_isCrossPagePostBack", BindingFlags.NonPublic | BindingFlags.Instance);
if (postback != null)
{
postback.SetValue(converterPage, true);
}
FieldInfo namevalue = converterPage.GetType().GetField("_requestValueCollection", BindingFlags.NonPublic | BindingFlags.Instance);
if (namevalue != null)
{
namevalue.SetValue(converterPage, new NameValueCollection());
}
loadViewState.Invoke(converterPage, new object[] { ((Pair)((Pair)pair.First).Second) });
FieldInfo viewStateField = typeof(Control).GetField("_viewState", BindingFlags.NonPublic | BindingFlags.Instance);
if (viewStateField != null)
{
return (StateBag)viewStateField.GetValue(converterPage);
}
}
}
}
catch (Exception ex)
{
if (ex != null)
{
}
}
}
}
}
}
}
return null;
}
Lachlan Keown이 만든 온라인 Viewstate 뷰어:
http://lachlankeown.blogspot.com/2008/05/online-viewstate-viewer-decoder.html
일반적으로 컴퓨터 키가 있으면 ViewState를 해독할 수 있어야 합니다. 그렇죠?결국 ASP.net은 이를 해독해야 하며 이는 확실히 블랙박스가 아닙니다.
