web.config的加密和解密

最新推荐文章于 2024-05-06 08:30:00 发布
最新推荐文章于 2024-05-06 08:30:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: Asp.net 文章标签: 加密 asp.net 解密 permissions windows 数据库
为什么要对web.config进行加密?
    先谈为什么?原因其实就是基于安全方面的考虑
    简单的说,在asp.net中,加密web.config可以有效的保证数据库用户和密码安全,以及其他重要配置信息的安全。
    复杂的说,在asp.net中,可以使用受保护配置来加密web.config中的敏感信息(如用户名,密码,数据库连接字符串和加密密钥,etc)
              对配置信息进行加密后,即使功击都获取了对配置文件的访问,也可以使功击者难以获取对敏感信息的访问,从而改进应用程序的安全性。
如何加密web.config呢?
(以下只是演示,具体项目具体操作)
1.    新建一个website或者webapplication project (E:\Enconfig\WebApplication1)
2.    在web.config中新增一个
 < connectionStrings >
     < add  name ="SqlServices"  connectionString ="Data Source=localhost;Integrated Security=SSPI;Initial Catalog=Northwind;"   />
</ connectionStrings >
3.    针对connectionStrings进行加密,如下:
使用命令行工具regaspnet_iis
(有关于Framework的版本号是自行选定的,我们这里选择v2.0.50727这个文件夹)
Cd C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727
Aspnet_regiis -pe "connectionStrings" -app "/EnConfig/WebApplication1"
这里如果直接执行的话,会报错的,错误信息如下:
Encrypting configuration section
A configuration file cannot be created for the requested Configuration object.
Failed!
那怎么解决呢,也是很简单
只需要把E:\Enconfig的这个文件夹的属性设置一下web共享即可。
具体见图:(图1)
这样的话,对web.config中的ConectionString就加密好了

那如何解密呢?
*其实ASP.NET 在处理 Web.config 文件时会自动对该文件的内容进行解密。
因此,不需要任何附加步骤即可对已加密的配置设置进行解密,供其他 ASP.NET 功能使用或用于访问代码中的值。
程序中直接使用
ConfigurationManager.ConnectionStrings就可以获取你想要的配置项和值等等,大家自己Qucik Watch一下,自己看一下吧。这样就多说了。

只需要把-pe参数修改为-pd,就可以了。具体操作如下:
aspnet_regiis -pd "connectionStrings" -app "/EnConfig\WebApplication1"
操作成功信息:
Decrypting configuration section
Succeeded!

图1:设置web共享






以下是加密后的ConnectionString:
 
 < connectionStrings  configProtectionProvider ="RsaProtectedConfigurationProvider" >
     < EncryptedData  Type ="http://www.w3.org/2001/04/xmlenc#Element"
      xmlns ="http://www.w3.org/2001/04/xmlenc#" >
       < EncryptionMethod  Algorithm ="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"   />
       < KeyInfo  xmlns ="http://www.w3.org/2000/09/xmldsig#" >
         < EncryptedKey  xmlns ="http://www.w3.org/2001/04/xmlenc#" >
           < EncryptionMethod  Algorithm ="http://www.w3.org/2001/04/xmlenc#rsa-1_5"   />
           < KeyInfo  xmlns ="http://www.w3.org/2000/09/xmldsig#" >
             < KeyName > Rsa Key </ KeyName >
           </ KeyInfo >
           < CipherData >
             < CipherValue > lDEPz9sfUaFP26qIsQC3wZd43xr/NOjE3CxcMitgKnnNoa9tLUUjSJVfsvBRnXyGHyKJ0+kIsGssiXfpDPM63cJkwDoZHVnRRYGp5vD3SWM2JZ3SGD3iKjRtnJpMYcqzOONkN61moPbhWW6szd85pNZzMxjEWQdHElC2W6wg520= </ CipherValue >
           </ CipherData >
         </ EncryptedKey >
       </ KeyInfo >
       < CipherData >
         < CipherValue > bqKAbnOfFUUEUvbF4bfDeP5HNeW6EfH0A0H2nw4u/6knmeBqzaTFGxpxtMpcs1qQQGm2eJ4BajZpxhrIocOlo3J6ACr36OL/6EMlgkn5KdOb+WbceYMLXa96hoR8bXXVJDu11UoGBKGSdyGKTodE4zPHivXxwoY+TaDnB4FVy+ddSJrWmJCPRIXFcCPHO03l/bywpPDCyrrPZwCZI5Xqlq9z/Q99AtA8FwQY5BmVPvw= </ CipherValue >
       </ CipherData >
     </ EncryptedData >
   </ connectionStrings >

图3:aspnet自动解密


如果加密后遇到现错误“Failed to decrypt using provider 'MyInsideProtectedDataProvider'. Error message from the provider: The RSA key container could not be opened.”。执行下面两个命令即可:

Cause

Inexistent RSA container or insufficient permissions on the RSA container

Resolution

Create new container and add identity with correct permissions. You may use the following commands:

\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe  -pc "NetFrameworkConfigurationKey" -exp
Creating RSA Key container...
Succeeded!

\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -pa "NetFrameworkConfigurationKey" "NT AUTHORITY\NETWORK SERVICE"

Restart IIS with command " iisreset".


Reference :
http://msdn.microsoft.com/en-us/library/ff650304.aspx

aking8736
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置文件(Web.Config加密解密详细说明
liuhuan2099的专栏
09-11 8696
配置文件(Web.Config加密解密详细说明
web.config加密解密工具(三个软件集合)
08-01
这里提到的"web.config加密解密工具(三个软件集合)"显然是一组可以帮助开发者处理这种加密解密问题的工具。 首先,让我们详细了解一下`web.config`加密的原理。ASP.NET提供了一种名为“DPAPI”(Data Protection ...
【ASP.NET】通过Web.config实现登录
热门推荐
意愿三七
05-25 5万+
文章目录前言抛出问题代码实现后台的登录(aspx.cs) 前言 本文是通过authentication(认证访问者) 和 authorization( 访问权限),来实现一个简单的判断用户账号密码是否正确。 抛出问题 需要2个账号,一个账号为admin ,密码:123 另外一个账号为guest ,密码:1234 不允许匿名用户,和账号为guest的登录 代码实现 <configuration> <system.web> <compilatio
.NET 实战Web.config数据库解密及逆向技巧
最新发布
ahhacker86的专栏
05-06 1310
干货满满,来自dotnet安全矩阵微信群一位师傅的投稿分享。
webconfig身份验证
记事本
09-07 1085
一、问题描述:有两种用户,买方,卖方;在数据库中分别有两个用户表。要求:网站根目录下有两个目录假设为DW目录、GR目录。目录下都有一个login.aspx文件,分别是dwlogin.aspx,grlogin.aspx,登录时分别用自己的login.aspx文件,登录后不能访问对方的目录。二、总体思路:创建自定义的身份验证票据,将roles信息放在票据的userData中.三、设置Web.co
Web.config 加密解密
tomcat的专栏
09-01 6681
Web应用通常使用web.config存储数据库连接信息及应用的一些基础配置信息。为了安全性,我们采用一些加密手段来加密一些敏感信息,比如数据库连接字符串。 .NET 自带了一个aspnet_regiis的程序,可以帮助我们实现对web.config加密解密。 1.加密 1)导航到aspnet_regiis.exe目录下 cd C:\Windows\Microsoft.NET\Fram
web.config加密解密
weixin_30819085的博客
11-29 141
使用命令行工具aspnet_regiis.exe  你还能够使用aspnet_regiis.exe命令行工具来加密解密Web.config文件配置部分,你可以在"%WINDOWSDIR%\Microsoft.Net\Framework\version"目录下找到这个工具。为了加密Web.config文件中的一个节,你可以在这个命令行工具中使用DPAPI机器密钥,如下所示:  加密一个特定网站的W...
asp.net web.config加密解密方法
01-21
使用命令行工具aspnet_regiis.exe 你还能够使用aspnet_regiis.exe命令行工具来加密解密Web.config文件配置部分,你可以在”%WINDOWSDIR%\Microsoft.Net\Framework\version”目录下找到这个工具。为了加密Web....
web.config进行加密
xiao_lang_2000的专栏
03-28 1108
我们如果想对web.config的数据库连接字符串进行加密的话,那么这里提供了两个方法。方法一、    使用“DataProtectionConfigurationProvider”形式加密,创建test.aspx文件,代码如下: 需要添加引用 using System.Web.Configuration; using System.IO; //加密 protected void Butt
asp.net C#中对Web.Config字符串加密解密的方法
Enweitech Software Works
07-28 1万+
【案例引用】 例如 XML/HTML code ? 1 2 3 connectionStrings>         add name="EnterpriseWebConnectionString" connectionString="Data Source=. ; Initial Catalog=Enterp
Web.Config加密解密
weixin_33774308的博客
11-24 115
可以使用受保护配置来加密 Web 应用程序配置文件(如 Web.config 文件)中的敏感信息(包括用户名和密码、数据库连接字符串和加密密钥)。对配置信息进行加密后,即使攻击者获取了对配置文件的访问,也可以使攻击者难以获取对敏感信息的访问,从而改进应用程序的安全性。利用 .NET Framework 提供的命令列工具:aspnet_regiis.exe。 打开aspn...
加密Web.Config文件
10-29
笔者喜欢将信息保存在Web.config文件的appSettings部分;这样通过改变文本文件的值就可以改变了网站的操作。笔者特别喜欢将连接字符串保存在connetionStrings要素中。   客户一般不认同这种在config文件中保存数据的做法。具体点说,客户关心的是如何在文本文件中保存敏感信息。碰到这类客户时,笔者会告诉他们如果能够其他人可以从他们的网络服务器中移除文本文件,那么他们的问题就连本人都无法解决。
WEBCONFIG数据库链接加密解密算法
03-22
ASP.NET的配置文件里面一般会有数据库连接信息,如果不加密,很危险。
WebConfig加密/解密
ulark的专栏
12-11 542
我们经常会把一个重要信息放到WebConfig里,所以WebConfig这个文件的重要性不言而喻.NET 里有ASP.NET IIS 注册工具,(Aspnet_regiis.exe) 这样的一个工具,可以对站点的.config文件的节进行加密语法:  加密:aspnet_regiis -pef "加密web.config里面的配置节名称" "web.config文件所处的目录"  解
Web.config 对数据库加密操作
学习笔记
05-11 2220
Web.config 中加入:             然后,定义一个公共常量类获取并处理: public class PubConstant {      //      //获取连接字符串,判断是否加密处理      //      public static string ConString      {      get      {     strin
面试常见问题:如何加密Web项目中配置文件中的密码?
似水流年
08-31 1万+
我们使用的项目经常是这个样子的: <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close" p:driverClassName="oracle.jdbc.driver.OracleDriver" p:url="jdbc:oracle:thin:@127.0.0.
web.config中的数据库连接字符串进行加密
dowhathowtodo
04-11 405
网站部署在客户服务器上,但是网站所用的数据库要连接公司mssql服务器。如果数据库连接字符串明文写在web.config中,将是相当危险的事情。 在命令提示符总进入到 C:\WINDOWS\Microsoft.net\Framework\ v4.0.xxxx,其中xxxx是您的软件版本。路径为web.config所在目录。 加密: aspnet_regiis –pef conn...
app.config['SECRET_KEY'] = 'secret!'什么意思
05-13
这行代码是在 Flask web 应用程序中设置一个 secret key,用于保护用户会话 cookie 等敏感信息。在 Flask 中,secret key 用于加密解密用户 cookie 等数据。这个值应该是一个随机的字符串,越长越复杂越好,以保证安全性。当 Flask 应用程序启动时,它会使用这个密钥来生成一个安全的签名,确保数据没有被篡改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值