通常,應用程序和它們的配置位於同一臺機器中,當有人攻擊該機器時,可以訪問配置文件並訪問數據庫,儘管(通過位於該配置文件上的數據庫用戶名和密碼) 。如果我們散佈配置文件信息然後使用該文件而不是純文本文件呢?有沒有更好的主意?假設我不想使用任何雲底,只有一臺機器。散列/加密配置文件信息
0
A
回答
0
散列函數是單向函數。一旦你散列了一個配置文件,你將無法對應用程序進行「散列」處理。加密可能是大多數人使用的,但即使如此,仍然可能容易受到逆向工程的影響。
2
散列是一個one-way process - 最常用於驗證信息沒有被篡改。所以哈希你的配置文件給你一個基本上沒有意義的字符串,你不能用它建立數據庫連接。當然,你可以對配置文件進行加密,但是你也有同樣的問題 - 理論上攻擊者可以檢索到解密密鑰,並計算出如何解密配置;他們甚至可以通過檢查服務器進程的內存來找出運行時間。
重要的是,訪問Web服務器的攻擊者幾乎不可能停下來 - 他們可能會訪問所有進出服務器的流量,他們可以讀取服務器上的所有文件(或至少是Web應用程序用戶可以讀取的),他們可能能夠在服務器上執行任意代碼。防止這種可能性不是最好的利用你的時間 - 這就像在前門不安全的情況下投資臥室鎖。更好地修復前門。
這個問題的最佳解決方案是讓那些構建你正在使用的任何web語言/框架的人解決它。您不指定語言/框架,但請閱讀工具集的安全指南並實施建議。另請參閱OWASP準則。
相關問題
- 1. 加密配置文件信息
- 2. WSO2 MDM加密.json配置文件中的敏感信息
- 3. 解析torrent文件 - 散列信息。 (Erlang)
- 4. iPhone配置文件加密
- 5. DotNetNuke - 純文本加密/散列密碼
- 6. 散列密碼的加密?
- 7. 加密與散列密碼
- 8. 從文件中讀取配置信息
- 9. OpenId更新配置文件信息
- 10. 如何分離配置文件信息
- 11. 加密URL信息
- 12. 散列密碼不匹配
- 13. 散列密碼不匹配
- 14. 使用受保護的配置提供程序加密配置信息
- 15. 用於列出Outlook配置文件信息的VBS腳本
- 16. 信息擴散
- 17. 爲HttpHandler加密配置文件
- 18. Postgres配置文件的加密
- 19. 加密配置文件進行部署
- 20. 加密asp.net C#完整配置文件
- 21. 加密配置文件的段(Settings.settings)
- 22. DNN加密配置文件字段
- 23. C++:如何加密XML配置文件
- 24. Plist和移動配置文件加密
- 25. 散列/電子郵件加密
- 26. 從Perl陣列/散列打印信息
- 27. 加密散列元素樹
- 28. 如何加載靜態配置信息
- 29. 加密配置
- 30. PCL中的路徑,文件信息等(配置文件158)