В конце прошлого года специалисты из компании Microsoft обнаружили серию атак, при которых злоумышленники использовали статические ключи ASP.NET для инъекции кода. В одном случае им удалось внедрить инструмент постэксплуатации Godzilla на сервер IIS. Удивительно, что ключи validationKey и decryptionKey, которые защищают данные ViewState от изменений и утечки, не были украдены или куплены в интернете. Их можно…