Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security Oracle安全相关查询_Security - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security Oracle安全相关查询

Security Oracle安全相关查询

security

Security Oracle安全相关查询,security,Security,我仍然无法找出以下与Oracle padding安全问题相关的问题。第一点是我想知道更换机器钥匙的简单方法。第二点与安全问题有关 如果我更改机器密钥,那么更改数据库中存储的用户密码是多么容易。用户密码也使用相同的机器密钥加密。更改密钥将使密码无效。如果我弄错了,请纠正我 在webresource.axd?d=…,存储在'd'参数中的数据类型是什么。如何允许下载任意文件。我只知道它可以允许嵌入式资源下载。但是,有人能举例说明如何使用webresource.axd下载web.config文件吗。每个

我仍然无法找出以下与Oracle padding安全问题相关的问题。第一点是我想知道更换机器钥匙的简单方法。第二点与安全问题有关

  • 如果我更改机器密钥,那么更改数据库中存储的用户密码是多么容易。用户密码也使用相同的机器密钥加密。更改密钥将使密码无效。如果我弄错了,请纠正我
  • 在webresource.axd?d=…,存储在'd'参数中的数据类型是什么。如何允许下载任意文件。我只知道它可以允许嵌入式资源下载。但是,有人能举例说明如何使用webresource.axd下载web.config文件吗。每个人都说可以下载web.config,但我没有找到这样做的例子
    • 我很高兴知道是否有人能用简单的例子来回答。请不要将我指向ScotGu的博客,在阅读了他的博客和推荐信后,我不想再访问他的博客,我很惊讶地知道他是如何领导asp.net团队的。

    我将尝试回答您关于到目前为止这个问题的问题

  • 数据库中的用户密码与应用程序的机器密钥根本不相关。默认情况下,每次重新启动应用程序时,ASP.NET工作进程都会生成一个新的计算机密钥。
    (因此,如果DB密码依赖于机器密钥,则每隔几天就会失效。)

  • 关于下载
    Web.config
    ,我们真的不知道。有些人认为这取决于另一个安全漏洞。如果您使用MVC(或没有这些的WebForms),那么禁用
    .axd
    请求是最安全的。(使用
    httpbankedenhandler
    处理
    *.axd

    • 例如:

    <httpHandlers>
    ...
    <remove verb="*" path="*.axd"/>
    <add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>

    
...
    如果您使用的是IIS 7,也可以在
    system.webServer
    部分执行相同的操作。

    我将尝试回答您的问题,从目前为止的问题来看

  • 数据库中的用户密码与应用程序的机器密钥根本不相关。默认情况下,每次重新启动应用程序时,ASP.NET工作进程都会生成一个新的计算机密钥。
    (因此,如果DB密码依赖于机器密钥,则每隔几天就会失效。)

  • 关于下载
    Web.config
    ,我们真的不知道。有些人认为这取决于另一个安全漏洞。如果您使用MVC(或没有这些的WebForms),那么禁用
    .axd
    请求是最安全的。(使用
    httpbankedenhandler
    处理
    *.axd

    • 例如:

    <httpHandlers>
    ...
    <remove verb="*" path="*.axd"/>
    <add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>

    
...
    如果您使用的是IIS 7,也可以在
    system.webServer
    部分执行相同的操作。

    Yikes对于大多数人来说,在生产asp.net站点上禁用axd通常不是一个选项,scriptmanager、第三方控件都会例行使用WebResource。axd@Chris-正如我所说,MVC不使用它,因此它是MVC页面的有效选项。1。由于我在web.config中使用静态机器密钥,并且如果我在DB中存储加密密码,Asp.net成员资格提供程序将使用该密钥加密密码。因此,更换机器钥匙并不像看上去那么容易。如果使用自动生成的密钥,则无法加密密码。2。由于我的项目设计,我无法禁用*.axd。我需要webresource.axd功能。我很惊讶有人说web.config可以通过webresource.axd下载。我不是要求禁用*.axd,而是询问它将如何下载web。config@kumar-真的吗?您能和我们分享一下吗?Yikes在生产asp.net网站上为大多数人禁用axd通常不是一个选项,scriptmanager、第三方控件都经常使用WebResource。axd@Chris-正如我所说,MVC不使用它,因此它是MVC页面的有效选项。1。由于我在web.config中使用静态机器密钥,并且如果我在DB中存储加密密码,Asp.net成员资格提供程序将使用该密钥加密密码。因此,更换机器钥匙并不像看上去那么容易。如果使用自动生成的密钥,则无法加密密码。2。由于我的项目设计,我无法禁用*.axd。我需要webresource.axd功能。我很惊讶有人说web.config可以通过webresource.axd下载。我不是要求禁用*.axd,而是询问它将如何下载web。config@kumar-真的吗?你能和我们分享一下吗?为什么你对他领导ASP.NET团队感到惊讶?侮辱他与你的问题无关,这样做很不恰当。不管怎样,在他的博客上都有安全补丁的链接:为什么你对他领导ASP.NET团队感到惊讶?侮辱他与你的问题无关,这样做很不恰当。无论如何,在他的博客上有安全补丁的链接: