[研究]ASP.NET WebForm 網站的 ViewState 被 HCL AppScan 10.18.0 報告【低】【查詢中接受了Body參數】弱點，如何處理？

[研究]ASP.NET WebForm 網站的 ViewState 被 HCL AppScan 10.18.0 報告【低】【查詢中接受了Body參數】弱點，如何處理？

2025-07-17

風險： 有可能收集 Web 應用程式相關的機密性資訊，如：使用者名稱、密碼、機器名稱及/或機密檔案位置

有可能說服無經驗而易受騙的使用者提供機密性資訊，如：使用者名稱、密碼、信用卡號碼、社會保險號碼等等

原因： 不安全的 Web 應用程式設計或配置

修正： 請勿接受查詢字串中傳送的 body 參數

********************************************************************************

經查，此頁面沒有任何填寫欄位，被報告有問題的是ViewState資訊，是ASP.NET WebForm的運作機制，而非應用程式自定查詢功能使用 POST Body，為誤判。

(完)