ASP.NET~~[ Web.config文件加密]~Fortify扫描 Password Management: Password in Configuration File

最新推荐文章于 2024-05-04 22:26:18 发布
最新推荐文章于 2024-05-04 22:26:18 发布
阅读量3.6k 收藏 8
点赞数 5
分类专栏: ASP.NET 文章标签: asp.net java c# 加密解密 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35011890/article/details/105665950
版权

ASP.NET Web.config文件加密

在进行Fortify扫描过程中,出现了高危漏洞(Password Management: Password in Configuration File),即需要对config文件中的明文密码进行加密.

最开始我才用DES加密,在每一次从config文件中获取配置信息之前进行解密,但是由于不知道这个系统在多少个地方获取了配置文件,以及具体位置所以只能中断这个解决方案.

using System;
using System.IO;
using System.Security.Cryptography;
using System.Text;
namespace OMO.Infrastructure.Data.Common
{
    public class DESUtils
    {
        #region DES加解密
        //公钥获得
        public static DESCryptoServiceProvider getDes(string pubKey)
        {
            string AlternateKey = "CSu#中广核¥PcIt";// "CSu#中广核¥PcIt";
            pubKey = pubKey ?? "";
            int len = pubKey.Length;
            string key = len >= 8 ? pubKey.Substring(0, 8) : pubKey + AlternateKey.Substring(0, 8 - len);//长于8?取左边:再补左边的
            string iv = len >= 8 ? pubKey.Replace(pubKey.Substring(0, len - 8), "") : AlternateKey.Substring(AlternateKey.Length - 8 + len, 8 - len) + pubKey;//长于8?取右边:右边几位补左边
            var des = new DESCryptoServiceProvider();
            des.Key = Encoding.ASCII.GetBytes(key);
            des.IV = Encoding.ASCII.GetBytes(iv);
            return des;
        }
        /// <summary>
        /// DES加密
        /// </summary>
        /// <param name="pubKey"></param>
        /// <param name="input"></param>
        /// <returns></returns>
        public static string DesEncrypt(string input, string pubKey = "")
        {
            var des = getDes(pubKey);
            var bytes = Encoding.UTF8.GetBytes(input);
            using (var ms = new MemoryStream())
            {
                using (var cryptoStream = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write))
                {
                    cryptoStream.Write(bytes, 0, bytes.Length);
                    cryptoStream.FlushFinalBlock();
                }
                var data = ms.ToArray();
                return Convert.ToBase64String(data);
            }
        }
        /// <summary>
        /// DES解密
        /// </summary>
        /// <param name="pubKey"></param>
        /// <param name="input"></param>
        /// <returns></returns>
        public static string DesDecrypt(string input, string pubKey = "")
        {
            var des = getDes(pubKey);
            var bytes = Convert.FromBase64String(input);
            using (var ms = new MemoryStream())
            {
                using (var cryptoStream = new CryptoStream(ms, des.CreateDecryptor(), CryptoStreamMode.Write))
                {
                    cryptoStream.Write(bytes, 0, bytes.Length);
                    cryptoStream.FlushFinalBlock();
                }
                var data = ms.ToArray();
                return Encoding.UTF8.GetString(data);
            }
        }
        # endregion
        //替换加密的密码为未加密之前的
        public static String GetConnection()
        {
            string connectString = System.Configuration.ConfigurationManager.ConnectionStrings["ConnectionString"].ConnectionString;
            var index1 = connectString.IndexOf("Password=");
            string string1 = connectString.Substring(index1);
            var index2 = string1.IndexOf("=");
            string string2 = string1.Substring(index2 + 1);
            String a = DESUtils.DesDecrypt(string2, "");
            connectString = connectString.Replace(string2, a);
            return connectString;
        }
    }
}

第二次,我的想法是找到第一次调用config文件连接密码的地方(这个很容易找到,修改数据库连接密码,报错的地方就是),然后在之前统一做一次解密操作,并将解密后的字符串保存进config文件。这个方案存在很大且很多漏洞,比如一旦解密过以后,测试人员测试之前又得加密一次config文件。造成每次应用运行前后都得加密一遍config文件,因此中断这个解决方案。

查阅各种论坛博客,最后发现了简便加密的方法,原来asp.Net自己就有
以DPAPI方式加密Config!加密过的config文件根本不需要解密,使用的是.net自身的加密,没有自定义的加密规则,但是.net自己加密的配置文件在解密的时候是不需要进行解密的

		/// 
        /// 以DPAPI方式加密Config
        /// 
        private static void EncryptWebConfigByDPAPI()
        {
            Configuration configuration = null;
            ConfigurationSection connectionSection = null;

            //打开Request所在路径网站的Web.config文件
            configuration = WebConfigurationManager.OpenWebConfiguration("~");
            //取得Web.config中connectionStrings设置区块
            connectionSection = configuration.GetSection("connectionStrings");
            //未加密时
            if (!connectionSection.SectionInformation.IsProtected)
            {
                connectionSection.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
                configuration.Save();
            }
        }

但是,我一直在思考,加密以后,就不可能进行配置文件密码的修改了,因为你看到的都是加密后的配置文件,所以为了确保未来其他人员的使用,还是将解密也写出来,方便日后进行修改。

//解密
         private static void DecryptWebConfigByDPAPI()
        {
        Configuration config = WebConfigurationManager.OpenWebConfiguration("~");   
        ConfigurationSection section = config.GetSection("connectionStrings");   
  
        if (section != null && section.SectionInformation.IsProtected)   
        {   
            section.SectionInformation.UnprotectSection();   
            config.Save();   
        }   
    }

以上就是结合很多论坛博客找到的方法,当然加密解密算法还有很多,包括与上面相似的RSA算法,但是需要导出密钥,上面的最简单的,安全性没有要求,可以适用。

如果有更简单,有效的方法,以及错误指正欢迎告知。

幼稚怪
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
Password Management:Password in Configuration File(密码在配置文件中)解决方案
yangzhouren_hf的博客
06-01 1万+
注:框架是Struts2+Spring+ibatis 漏洞代码 jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver jdbc.username=db2admin jdbc.password=db2admin 漏洞说明 在配置文件中存储明文
运维自动化之Cobbler系统安装使用详解[good]
weixin_33935505的博客
03-09 102
一、简介 Cobbler是一个快速网络安装linux的服务,而且在经过调整也可以支持网络安装windows。该工具使用python开发,小巧轻便(才15k行python代码),使用简单的命令即可完成PXE网络安装环境的配置,同时还可以管理DHCP、DNS、以及yum仓库、构造系统ISO镜像。 Cobbler支持命令行管理,web界面管理,还提供了API接口,可以方便二次开发使用。 Cobbl...
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
mysql错误码解释
weixin_33910434的博客
12-25 6227
OS error code 1: Operation not permitted OS error code 2: No such file or directory OS error code 3: No such process OS error code 4: Interrupted system call OS error code 5: Inp...
Password Management:Password in Configuration File 密码管理:配置文件中的密码
Dearzh的博客
11-15 453
Abstract: 在配置文件中存储明文密码,可能会危及系统安全。 Explanation: 在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。程序员有时候认为,他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。健全的 password management 方针从来不会允许以明文形式存储密码。 在这种情况下,...
Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)...
马洪彪的流水账
03-15 158
Password Management: Password in Configuration File(明文存储密码) Abstract 在配置文件中存储明文密码,可能会危及系统安全。 Explanation 在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。 程序员有时候认为, 他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动...
springboot项目使用jasypt配置文件明文加密
qq_42552574的博客
12-22 998
jasypt配置文件明文加密 最近有个springboot项目上线前进行安全检测,使用fortify扫描出配置文件的明文存储安全漏洞(Password Management: Password in Configuration File) 于是在各个博客中看到使用jasypt进行加密,自己实现后发现还是挺方便简单的,自己做个总结并当作笔记记录下来。 实现配置存储的明文加密只需要以下几步: 一、项目中引入依赖(Maven) <dependency>   <groupId>com.g
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
fortify——password Management
chdyiboke的博客
04-16 3306
对于密码问题,有些password 不能用明文,存在安全隐患。 1.数据库链接:修改密码后,需要修改xml和Java代码 2.常量里面包含关键字password  ,修改、重构一下就OK 3.前端js、jsp 里面,对于密码不显示,可以在input里面加一个属性:autocomplete="off"                                             
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine ...
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
用于SonarQube的Fortify插件 弃用通知 该插件与SonarQube 8.0及更高版本不兼容。 有关详细信息,请参见 。 鉴于需要频繁进行SonarQube API更改并保持客户更新至SonarCloud(不支持第三方插件)来使插件保持最新状态...
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
Fortify SCA rules 2018最新版扫描规则
11-20
Fortify SCA rules 2018最新版扫描规则, 下载可以直接导入, 并提供报告输出, 安全可靠.
ASP.NET网上车辆档案管理系统
大叔_爱编程 的博客
05-04 720
本文采用基于WebAsp.net技术,并与sql server 2000数据库相结合,研发了一套车辆档案管理系统。该系统扩展性好,易于维护。简化了车辆档案设计流程,去除了冗余信息。汽车销售企业可以通过本系统完成整个销售及售后所有档案的信息化管理,轻松的完成添加,查询及维护等工作。 因此将发挥计算机的庞大的存储空间,高性能的处理能力,高度可靠的数据安全,清晰的可视化数据等这些优势让企业对车辆档案进行管理,实现了计算机资源的合理利用,真正实现了减少劳动力提高劳动质量的目的。
asp.net表单上传文件
weixin_54957314的博客
04-28 434
asp.net利用表单上传文件
ASP.NET通用作业批改系统设计
大叔_爱编程 的博客
05-01 1123
该系统采用B/S结构,以浏览器方式登陆系统,用ASP.NET作为开发语言,数据库则使用Microsoft SQL Server 2000实现。《通用作业批改系统》包括了学生子系统、教师子系统、管理员子系统三大模块,该系统主要完成学生,教师,管理员的登陆,作业的提交,批改等功能,具有操作简单、界面友善、灵活性好、系统安全性高、运行稳定等特点。 本文简要介绍了《通用作业批改系统》的项目背景和意义,着重阐述了该系统的设计实现过程与该系统数据库的设计实现过程;从系统的需求分析、模块设计、数据库设计到系统实现等各个环
asp.net结课作业中遇到的问题解决2
最新发布
m0_62263513的博客
05-04 607
asp.net结课作业中遇到的问题解决2
ASP.NET网络在线考试系统
大叔_爱编程 的博客
05-03 868
网络考试系统正是迎合这一时常需求而开发的,它旨在探索一种以互联网为基础的考试模式。通过这种新的模式,为学校创造一种新的考试环境,使考务管理突出失控的局面,提高考试工作效果和标准水平,是学校管理者、教师和学生可以随时随地通过网络进行考试。 本系统实现了管理员的后台学生和题库管理,学生前台考试,成绩查询等功能。 关 键 字:考试系统;网络考试系统;ASP.NET; SQL SERVER2000
Fortify扫描之Access Control: Database 问题修复
07-12
针对Fortify扫描中的Access Control: Database问题,以下是一些可能的修复方法: 1. 使用参数化查询:确保所有与数据库交互的查询都使用参数化查询,而不是直接将用户输入拼接到查询语句中。这可以防止SQL注入攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值