自救必看三大準則

Password Management: Hardcoded Password

在對項目進行安全掃描時,發現一些密碼硬編碼問題,本文主要三個方面:1)什麽是密碼硬編碼;2)密碼硬編碼的危害;3)密碼硬編碼的解決方案。

一 什麽是密碼硬編碼

將密碼以明文的形式直接寫到代碼中,就是密碼硬編碼。
下邊示例中,將用戶名和密碼直接寫到代碼中,就是硬編碼。
1 function connectionDatabase(url, userName, password) {
2     // ....
3 }
4 
5 connectionDatabase(‘./api‘, ‘zhangsan‘, ‘1234567‘);

二 密碼硬編碼的危害

主要危害有2個方面:
1)安全風險
只要能拿到該代碼的人(即使代碼發布前做過編譯或者混淆壓縮,也能通過反編譯等手段查看到源碼),都能獲取到該用戶名和密碼,導致安全風險;
2)可維護性不好
代碼一旦發布上線,後續要修改該用戶名和密碼非常困難,需要更改源代碼。

三 密碼硬編碼的解決方案

密碼硬編碼還沒有絕對安全的解決方案,只能通過加大破解難度來提高安全性。
最常用的方法是對密碼進行模糊化(例如:要先經過hash處理再存儲),並將密碼存在外部資源文件中進行管理。
示例:
下邊代碼中就是獲取配置文件中配置好的密碼:
技術分享圖片
下邊代碼中就是配置文件中加密過的密碼:
技術分享圖片
說明:經過上邊的處理,並不是就絕對安全了,黑客高手也有手段破解。但相比直接明文方式加密,至少能解決安全軟件掃描問題。

留言

張貼留言

這個網誌中的熱門文章

IIS - ASP.NET 網站基本優化設定

圖片
  運行 ASP.NET 基本上都是掛載在 IIS 上面,但 IIS 預設的設定,並不適合 24 小時不中斷的營運系統。 如果沒有適當的調整,可能會造成使用者的感受不佳,而你又偏偏不會遇到。 本篇將介紹 IIS 運行 ASP.NET 網站的基本優化設定。 應用程式集區 打開 IIS 管理員,到應用程式集區,選擇網站後,開啟進階設定: 1. 一般 (General) 佇列長度 (Queue Length) 預設值是  1000 ,當封包數量在同一時間到達該指定值,之後的 Request 都會變成 HTTP Status 503 Service Unavailable。 例:當有同時間有 1001 個 Request 一起送到 IIS,第 1001 個 Request 會直接回傳 503,不會進到 ASP.NET 處理。 也不是無限大就好,也是要看伺服器等級。 假設調成 10000,也真的有同時 10000 的量,可能會演變成  CPU High  的問題。 因此,這個欄位沒有建議值,網站封包量很大才有需要調整這個欄位。 啟動模式 (Start Mode) 預設值是  OnDemand ,當網站執行回收後,會等到第一個 Request 進來,IIS 才會把網站啟動。 所以第一個連上來的使用者會等到比較久的時間,ASP.NET 初始化完成後,使用者才會得到回應。 建議設定成  AlwaysRunning ,當網站執行回收後,IIS 就會直接啟動 ASP.NET。 2. 回收 (Recycling) 固定時間間隔 (Regular Time Interval) 預設值是  1740 ,也就是每隔 29 小時 IIS 就會把該網站重啟。 很可能重啟當下使用者正在操作,對於要 24 小時不中斷的系統來說,這真的是很不妥當的事情。 如果 ASP.NET 的 Session Mode 是用 InProc,網站重啟使用者就全被登出了。 建議設定成  0 ,也就是關閉定期重啟網站的設定。 如果網站真的需要定期重啟,可以在 特定時間 (Specific Times)  設定,固定每天哪些離峰時間做重啟的動作。 3. 快速失敗保護 (Rapid-Fail Protection) Enabled 預設值是...
閱讀完整內容

Node.js 部署至 IIS 站台

圖片
基於公司網路架構的規定 記錄一下自己是如何成功將手邊的 Node.js 部署到 iis 上。 一、安裝工具 以下三樣,順序固定 .安裝 node-v14.17.5-x64.msi 的node工具 https://drive.google.com/file/d/1oMVvy0p4ViP7v-EMA8vPqIghy_ulW_Af/view?usp=sharing .安裝 iis 的 rewrite_amd64_en.US.msi https://drive.google.com/file/d/1O1J-NuiGpNywGesuqCeSEcFSfjKluFzN/view?usp=sharing .安裝 iisnode-full-v0.2.21-x64.msi https://drive.google.com/file/d/1ijIW1Zz4rXrkW8F-aJQ5AA4vDromFfog/view?usp=sharing 二、建立IIS站 .首先建立「應用程式集」 -識別:NetworkService 三、建立 web.config .兩個方式 -自己為站台的情形,貼上以下內容 <configuration> <system.webServer> <!-- indicates that the server.js file is a node.js application to be handled by the iisnode module -->  <handlers>   <add name="iisnode" path="server.js" verb="*" modules="iisnode" />  </handlers> <rewrite>  <rules>   <rule name="sendToNode">    <match url="/*" />    <action type="Rewrite" url="server.js" />   </rule...
閱讀完整內容

遇見 Parameters 參數上限之大量資料寫入方法

圖片
遇到 Too many parameters were provided in this RPC request. The maximum is 2100. 的狀況時的處理模式 前言: 因為導入資安專案後,同仁已經針對 SQL 語法改採用 Parameters.Add 的方法撰寫。 但近來 HR 同仁因為有大量資料寫入的需求,遇到 Parameters 參數使用超過  2100  個的上限的例子 (如下圖) The incoming tabular data stream (TDS) remote procedure call (RPC) protocol stream is incorrect. Too many parameters were provided in this RPC request. The maximum is 2100.  以下紀錄兩個方法,處理這問題: Parameters.Add 批次寫入。 SqlBulkCopy 大量資料寫入。 實作(一) Parameters.Add 批次寫入: 一樣使用 Parameters.Add,但會依 Parameters.Count 批次寫入資料 ( 效率差 ) protected void Button1_Click ( object sender, EventArgs e ) { //================================================== // // 1. 加入參考:System.Transactions // 2. using System.Transactions; // //================================================== //引用stopwatch物件 (計算執行時間) Stopwatch sw = new Stopwatch(); sw.Start(); //創造 DataTable,準備來接資料 DataTable dt = new DataTable(); dt.Columns....
閱讀完整內容