通常,应用程序和它们的配置位于同一台机器中,当有人攻击该机器时,可以访问配置文件并访问数据库,尽管(通过位于该配置文件上的数据库用户名和密码) 。如果我们散布配置文件信息然后使用该文件而不是纯文本文件呢?有没有更好的主意?假设我不想使用任何云底,只有一台机器。散列/加密配置文件信息
0
A
回答
0
散列函数是单向函数。一旦你散列了一个配置文件,你将无法对应用程序进行“散列”处理。加密可能是大多数人使用的,但即使如此,仍然可能容易受到逆向工程的影响。
2
散列是一个one-way process - 最常用于验证信息没有被篡改。所以哈希你的配置文件给你一个基本上没有意义的字符串,你不能用它建立数据库连接。当然,你可以对配置文件进行加密,但是你也有同样的问题 - 理论上攻击者可以检索到解密密钥,并计算出如何解密配置;他们甚至可以通过检查服务器进程的内存来找出运行时间。
重要的是,访问Web服务器的攻击者几乎不可能停下来 - 他们可能会访问所有进出服务器的流量,他们可以读取服务器上的所有文件(或至少是Web应用程序用户可以读取的),他们可能能够在服务器上执行任意代码。防止这种可能性不是最好的利用你的时间 - 这就像在前门不安全的情况下投资卧室锁。更好地修复前门。
这个问题的最佳解决方案是让那些构建你正在使用的任何web语言/框架的人解决它。您不指定语言/框架,但请阅读工具集的安全指南并实施建议。另请参阅OWASP准则。
相关问题
- 1. 加密配置文件信息
- 2. WSO2 MDM加密.json配置文件中的敏感信息
- 3. 解析torrent文件 - 散列信息。 (Erlang)
- 4. iPhone配置文件加密
- 5. DotNetNuke - 纯文本加密/散列密码
- 6. 散列密码的加密?
- 7. 加密与散列密码
- 8. 从文件中读取配置信息
- 9. OpenId更新配置文件信息
- 10. 如何分离配置文件信息
- 11. 加密URL信息
- 12. 散列密码不匹配
- 13. 散列密码不匹配
- 14. 使用受保护的配置提供程序加密配置信息
- 15. 用于列出Outlook配置文件信息的VBS脚本
- 16. 信息扩散
- 17. 为HttpHandler加密配置文件
- 18. Postgres配置文件的加密
- 19. 加密配置文件进行部署
- 20. 加密asp.net C#完整配置文件
- 21. 加密配置文件的段(Settings.settings)
- 22. DNN加密配置文件字段
- 23. C++:如何加密XML配置文件
- 24. Plist和移动配置文件加密
- 25. 散列/电子邮件加密
- 26. 从Perl阵列/散列打印信息
- 27. 加密散列元素树
- 28. 如何加载静态配置信息
- 29. 加密配置
- 30. PCL中的路径,文件信息等(配置文件158)