Oracle填充安全相关查询

时间:2010-09-22 17:51:58

标签: security

我仍然无法找出与Oracle填充安全问题相关的以下内容。没有。一般来说,我想知道更改机器密钥的简便方法。没有。 2点与安全问题有关。

  1. 如果我更改机器密钥,那么我可以轻松更改存储在数据库中的用户密码。用户密码也使用相同的机器密钥加密。更改密钥将使密码失效。如果我弄错了,请纠正我。
  2. 在webresource.axd?d = ...中,'d'参数中存储的数据类型是什么。如何允许下载任意文件。我只知道它可以允许下载嵌入式资源。但有人可以展示一个使用webresource.axd下载web.config文件的示例。每个人都说可以下载web.config,但我没有找到这样做的例子。

    3. 我很高兴知道是否有人可以用简单的例子回答。请不要指向ScotGu博客,在阅读他的博客和建议后,我不想再次访问他的博客,并且很惊讶他知道他是如何领导asp.net团队的。

1 个答案:

答案 0 :(得分:1)

到目前为止,我会尝试回答I have learned关于此问题的问题。

  1. 数据库中的用户密码与应用的计算机密钥完全不相同。默认情况下,ASP.NET工作进程会在每次重新启动应用程序时生成新的计算机密钥 (因此,如果数据库密码依赖于机器密钥,它们将在每隔几天变为无效。)

  2. 关于下载Web.config,我们真的不知道。有些人认为它依赖于另一个安全漏洞。如果您使用MVC(或没有这些的WebForms),如果您禁用 .axd请求,则最安全。 (使用*.axd)处理HttpForbiddenHandler

    3. 例如:

    <httpHandlers>
    ...
    <remove verb="*" path="*.axd"/>
    <add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>

    如果您使用的是IIS 7,请在system.webServer部分执行相同操作。

相关问题
最新问题