asp.net – 是否有可能欺骗或重用VIEWSTATE或检测它是否受到保护

ASP和ASP.NET Web应用程序在表单中使用名为VIEWSTATE的值.据我所知,这用于在客户端之间在Web服务器请求之间保持某种状态.

我从未使用ASP或ASP.NET,需要一些帮助来解决两个问题(以及一些子问题)：

1)是否可以以编程方式欺骗/构建表单的VIEWSTATE？澄清：程序可以查看表单,并从该构造中查看base64编码的VIEWSTATE值的内容吗？

1 a)或者它总是可以被遗忘？

1 b)特定表单的旧VIEWSTATE是否可以在以后调用同一表单时重用,或者只要运气好吗？

2)我从http://msdn.microsoft.com/en-us/library/ms972976.aspx#viewstate_topic12开始收集可以打开安全性,以便VIEWSTATE免于欺骗.程序是否有可能以这种方式检测到VIEWSTATE是否受到保护？

2 a)EVENTVALIDATION值的出现与安全的VIEWSTATE之间是否存在一对一的映射？

关于1)和2),如果是的话,我可以暗示如何做到这一点吗？ 2)我想我可以对该值进行64位解码并搜索一个总是在未加密的VIEWSTATE中找到的字符串. “第一：”？别的什么？

背景

我已经制作了一个small tool用于检测和利用所谓的CSRF漏洞.我使用它来快速证明我发送给受影响的网站所有者的此类漏洞的概念.我常常在VIEWSTATE遇到这些表格,而这些表格我不知道它们是否安全.

编辑1：稍微澄清问题1.

编辑2：以斜体添加文本.