Necesito saber si alguien ha hecho sql injection en paginas aspx?
He investigado un poco y he encontrado que la variable __viewstate de las paginas web recoge todas las variables/valor de la pagina; viene codificada en base64 y puede ser cifrada configurando el servidor.

Hay algo de documentación en:
http://aspalliance.com/articleViewer.aspx?aId=135&pId=

Decoder online de viewstate para ver la estructura de la pagina en estructura de arbol:
http://lachlankeown.blogspot.com/2008/05/online-viewstate-viewer-decoder.html

Parece que tmb existen decoders como addons del firefox pero no los he probado.

Alguien puede aportar algo mas? es posible injectar?
Como se puede saber si la variable enableViewStateMac del fichero web.config esta activa?
para que sirven las variables __eventargument y __eventtarget?

gracias por adelantado