CVE ID: CVE-2010-2088,CVE-2010-2085
.NET Framework中的ASP.NET没有正确地处理未经加密的ViewState。通常ASP.Net的ViewState存储在名为 __VIEWSTATE的隐藏字段中。如果页面的ViewState没有加密签名,就可以对多个标准.Net控件执行跨站脚本攻击。
Microsoft .NET Framework 3.5
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
xss.aspx?__VIEWSTATE=/wEPDwUKLTgzNDA2NzgyMA9kFgJmD2QWAgIBDxYCHglpbm5lcmh0bWwFHTxzY3JpcHQ%2BYWxlcnQoJ3hzcycpPC9zY3JpcHQ%2BZGQ=