通常,应用程序和它们的配置位于同一台机器中,当有人攻击该机器时,可以访问配置文件并访问数据库,尽管(通过位于该配置文件上的数据库用户名和密码) 。如果我们散布配置文件信息然后使用该文件而不是纯文本文件呢?有没有更好的主意?假设我不想使用任何云底,只有一台机器。散列/加密配置文件信息
0
A
回答
0
散列函数是单向函数。一旦你散列了一个配置文件,你将无法对应用程序进行“散列”处理。加密可能是大多数人使用的,但即使如此,仍然可能容易受到逆向工程的影响。
2
散列是一个one-way process - 最常用于验证信息没有被篡改。所以哈希你的配置文件给你一个基本上没有意义的字符串,你不能用它建立数据库连接。当然,你可以对配置文件进行加密,但是你也有同样的问题 - 理论上攻击者可以检索到解密密钥,并计算出如何解密配置;他们甚至可以通过检查服务器进程的内存来找出运行时间。
重要的是,访问Web服务器的攻击者几乎不可能停下来 - 他们可能会访问所有进出服务器的流量,他们可以读取服务器上的所有文件(或至少是Web应用程序用户可以读取的),他们可能能够在服务器上执行任意代码。防止这种可能性不是最好的利用你的时间 - 这就像在前门不安全的情况下投资卧室锁。更好地修复前门。
这个问题的最佳解决方案是让那些构建你正在使用的任何web语言/框架的人解决它。您不指定语言/框架,但请阅读工具集的安全指南并实施建议。另请参阅OWASP准则。
相关问题
- 1. 加密配置文件信息
- 2. WSO2 MDM加密.json配置文件中的敏感信息
- 3. 解析torrent文件 - 散列信息。 (Erlang)
- 4. DotNetNuke - 纯文本加密/散列密码
- 5. 加密与散列密码
- 6. 散列密码的加密?
- 7. 从文件中读取配置信息
- 8. OpenId更新配置文件信息
- 9. 加密URL信息
- 10. 使用受保护的配置提供程序加密配置信息
- 11. 加密asp.net C#完整配置文件
- 12. 加密配置文件进行部署
- 13. Postgres配置文件的加密
- 14. DNN加密配置文件字段
- 15. 散列/电子邮件加密
- 16. 加密散列元素树
- 17. 如何加载静态配置信息
- 18. 加密/解密存储在配置文件中的密码
- 19. Java - 从配置文件加密/解密用户名和密码
- 20. Castle ActiveRecord/NHibernate - 密码加密或散列
- 21. Solr的配置,对数据进行加密的配置文件
- 22. 使用SHA256解密消息散列
- 23. Perl的正则表达式匹配信息散列
- 24. wordpress配置文件密钥
- 25. 加密/解密信息在运行时
- 26. 如何列出GnuPG加密邮件的信息?
- 27. 单向加密,将散列字符串保存到文件中?
- 28. 散列密码
- 29. 散列密码
- 30. 解密散列