Geçtiğimiz günlerde ViewState nesnesi üzerinden yapılan bir saldırı tekniği ile uygulama içerisindeki web.config dosyasının bilgilerini ele geçirmenin bir yolu bulunmuştu. Tabi bu saldırı sadece projenizde CustomError sayfalarının kapalı olması durumunda yapılabiliyordu. Zor ve çetrefilli bir yol izlenerek yapılabilen bu saldırı için hazırlanmış bir araç olmaması, açık nedeniyle yayında olan sitelerin etkilenmesini de engelledi. Bu sırada Microsoft da çok hızlı bir şekilde önce geçici çözümü(workaround), ardından da gerekli yamayı hazırladı.
Scott Guthrie tarafından yazılan bu yazıda hem konuyla ilgili detaylı bilgileri hem de hangi işletim sistemine hangi paketin kurulması gerektiğini bulabilirsiniz.
Not: ViewState nesnesi yine yaptı yapacağını, sanırım bundan sonra MVC kullananların sayısı giderek artacaktır 
Bu hiç iyi olmadı. Forover Mvc@Razor :}
Hocam büyük şirketler ne yapıyor bunula ilgili yada dışarıya web sitesi geliştiren firmalar ?
Yüzlerce müşterileri olduğunu düşünürsek çok kötü etkilemiyormu ?
Aslında MVC olsun, WebForm olsun hiçbir uygulama(belki birkaç istisna vardır) bu açıktan etkilenmedi. Çünkü ortada sadece bu açığı yakalayan birinin kendi ekranından çektiği saldırı videosu vardı. Saldırının nasıl yapılacağını yazan bir doküman ve gerçekleştiren bir araç olmadığı için de her önüne gelenin, hatta her profesyonelin kolayca kullanabileceği bir açık değildi.
Yazımda da belirttiğim gibi saldırıya maruz kalmak için CustomErrors’ın kapalı olması lazım, ki büyük bir portalin bu ayarı kapalı bırakması zaten kabul edilebilir birşey değil. Saldırı kolayca yapılabilse bile belki de web sayfalarının %80’i bu saldırıyı yemeyecekti
Artık firmalara yapacak tek şey kaldı, o da gerekli Windows güncellemelerini yapmak.