Security Oracle安全相关查询
我仍然无法找出以下与Oracle padding安全问题相关的问题。第一点是我想知道更换机器钥匙的简单方法。第二点与安全问题有关Security Oracle安全相关查询,security,Security,我仍然无法找出以下与Oracle padding安全问题相关的问题。第一点是我想知道更换机器钥匙的简单方法。第二点与安全问题有关 如果我更改机器密钥,那么更改数据库中存储的用户密码是多么容易。用户密码也使用相同的机器密钥加密。更改密钥将使密码无效。如果我弄错了,请纠正我 在webresource.axd?d=…,存储在'd'参数中的数据类型是什么。如何允许下载任意文件。我只知道它可以允许嵌入式资源下载。但是,有人能举例说明如何使用webresource.axd下载web.config文件吗。每个
我很高兴知道是否有人能用简单的例子来回答。请不要将我指向ScotGu的博客,在阅读了他的博客和推荐信后,我不想再访问他的博客,我很惊讶地知道他是如何领导asp.net团队的。我将尝试回答您关于到目前为止这个问题的问题
(因此,如果DB密码依赖于机器密钥,则每隔几天就会失效。)
Web.config
,我们真的不知道。有些人认为这取决于另一个安全漏洞。如果您使用MVC(或没有这些的WebForms),那么禁用.axd
请求是最安全的。(使用httpbankedenhandler
处理*.axd
)<httpHandlers>
...
<remove verb="*" path="*.axd"/>
<add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>
...
如果您使用的是IIS 7,也可以在
system.webServer
部分执行相同的操作。我将尝试回答您的问题,从目前为止的问题来看
(因此,如果DB密码依赖于机器密钥,则每隔几天就会失效。)
Web.config
,我们真的不知道。有些人认为这取决于另一个安全漏洞。如果您使用MVC(或没有这些的WebForms),那么禁用.axd
请求是最安全的。(使用httpbankedenhandler
处理*.axd
)<httpHandlers>
...
<remove verb="*" path="*.axd"/>
<add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>
...
如果您使用的是IIS 7,也可以在
system.webServer
部分执行相同的操作。Yikes对于大多数人来说,在生产asp.net站点上禁用axd通常不是一个选项,scriptmanager、第三方控件都会例行使用WebResource。axd@Chris-正如我所说,MVC不使用它,因此它是MVC页面的有效选项。1。由于我在web.config中使用静态机器密钥,并且如果我在DB中存储加密密码,Asp.net成员资格提供程序将使用该密钥加密密码。因此,更换机器钥匙并不像看上去那么容易。如果使用自动生成的密钥,则无法加密密码。2。由于我的项目设计,我无法禁用*.axd。我需要webresource.axd功能。我很惊讶有人说web.config可以通过webresource.axd下载。我不是要求禁用*.axd,而是询问它将如何下载web。config@kumar-真的吗?您能和我们分享一下吗?Yikes在生产asp.net网站上为大多数人禁用axd通常不是一个选项,scriptmanager、第三方控件都经常使用WebResource。axd@Chris-正如我所说,MVC不使用它,因此它是MVC页面的有效选项。1。由于我在web.config中使用静态机器密钥,并且如果我在DB中存储加密密码,Asp.net成员资格提供程序将使用该密钥加密密码。因此,更换机器钥匙并不像看上去那么容易。如果使用自动生成的密钥,则无法加密密码。2。由于我的项目设计,我无法禁用*.axd。我需要webresource.axd功能。我很惊讶有人说web.config可以通过webresource.axd下载。我不是要求禁用*.axd,而是询问它将如何下载web。config@kumar-真的吗?你能和我们分享一下吗?为什么你对他领导ASP.NET团队感到惊讶?侮辱他与你的问题无关,这样做很不恰当。不管怎样,在他的博客上都有安全补丁的链接:为什么你对他领导ASP.NET团队感到惊讶?侮辱他与你的问题无关,这样做很不恰当。无论如何,在他的博客上有安全补丁的链接: