आईआईएस/एएसपी.नेट डंप फ़ाइलों में एएसपी.नेट वेब पृष्ठों से सबमिट और प्राप्त किए गए पासवर्ड और अन्य संवेदनशील डेटा को कैसे रोकता है?कोई एएसपी.NET डंप में दिखाई देने से पासवर्ड और अन्य संवेदनशील जानकारी को कैसे रोकता है?
कदम पुन: पेश करने
- दृश्य स्टूडियो 2010 का उपयोग करना, एक ASP.NET MVC 3 इंट्रानेट आवेदन पैदा करते हैं।
- आईआईएस 7.5 का उपयोग करने के लिए इसे कॉन्फ़िगर करें।
- इसे फायर करें और एक खाता पंजीकृत करें (उपयोगकर्ता के रूप में bob123 और पासवर्ड के रूप में Pa $$ w0Rd कहें। मुझे लगता है कि SQL एक्सप्रेस डेटाबेस बनाया गया है और साइट पूरी तरह कार्यात्मक है।
- कार्य प्रबंधक का उपयोग करना, सही w3wp प्रक्रिया पर क्लिक करें और एक डंप पैदा करते हैं।
- खोलें SlickEdit के रूप में हेक्स के रूप में इसकी सामग्री, प्रदर्शित करने में सक्षम एक संपादक में डंप। "पा $$ 0Rd" और "पा% 24% 24w0Rd के लिए
- खोजें "हेक्स डंप में। आपको एएससीआईआई, यूनिकोड, या एन्कोडेड के रूप में संग्रहीत कई प्रतियां प्राप्त करने में सक्षम होना चाहिए।
ध्यान दें कि इससे कोई फर्क नहीं पड़ता कि आप HTTPS का उपयोग करते हैं क्योंकि यह केवल संचार को एन्क्रिप्ट करता है। ASP.NET उस डेटा को स्मृति या डिस्क में स्पष्ट रूप से संग्रहीत करता है।
समस्या
आम ज्ञान यह संवेदनशील डेटा एन्क्रिप्ट करने के लिए और स्पष्ट में संग्रहीत करना नहीं है। हालांकि एक कर्मचारी को आईआईएस/एएसपी.नेट आवेदन का डंप प्राप्त हो सकता है और उपयोगकर्ताओं के पासवर्ड और अन्य गोपनीय डेटा की खोज हो सकती है क्योंकि यह जानकारी न तो एन्क्रिप्टेड है, न ही उपयोग के बाद एएसपी.NET द्वारा उपयोग की जाने वाली मेमोरी है।
इससे उन्हें जोखिम में डाल दिया जाता है क्योंकि उनके पास पहुंच है। डंप को कभी-कभी भागीदारों (जैसे कि माइक्रोसॉफ्ट) के साथ साझा किया जाता है ताकि वे अपने कोड में मुद्दों का निदान करने में मदद कर सकें। यह किसी के आवेदन में कुछ जटिल समस्याओं का निदान करने का एक आवश्यक हिस्सा है।
थिंग्स आई पासवर्ड और अन्य संवेदनशील डेटा के लिए
- उपयोग SecureString को देखा। हालांकि, एएसपी.NET सदस्यता प्रदाता, डब्ल्यूसीएफ जैसे अन्य ढांचे के साथ अक्सर पासवर्ड को सिस्टम.स्टिंग के रूप में स्वीकार करता है, जिसका अर्थ है कि ये प्रतियां अभी भी डंप में होंगी।
- यह देखने के लिए देखा गया कि सिस्टम की एक प्रति को साफ़ करने के लिए ढांचे में कुछ भी है या नहीं। स्ट्रिंग जब इसका उपयोग नहीं किया जा रहा है। मुझे कुछ नहीं मिला।
- जांच की गई कि आईआईएस के साथ किए जाने के बाद अनुरोध और प्रतिक्रियाओं के लिए इस्तेमाल की गई स्मृति को शून्य से बाहर कर दिया जा सकता है, लेकिन मैं कुछ भी नहीं ढूंढ पाया।
- मैंने गीलेर की जांच की है कि आईआईएस फ़ाइलों को एन्क्रिप्ट कर सकता है (एचटीपीपोस्टफाइल के रूप में) ताकि वे स्पष्ट रूप से संग्रहीत न हों। हम दस्तावेज प्राप्त कर सकते हैं जो बेहद गोपनीय हैं और सर्वर पर उन्हें एन्क्रिप्ट करने और उनकी रक्षा करने के लिए हर कदम बनाया जाता है। हालांकि, कोई आईआईएस डंप से स्पष्ट रूप से उन्हें निकाल सकता है।
मैं आईआईएस/एएसपी.नेट को यह बताने की उम्मीद कर रहा था कि एक विशिष्ट अनुरोध/प्रतिक्रिया में संवेदनशील डेटा होता है और आईआईएस/एएसपी.नेट इसका उपयोग करते समय स्मृति को साफ़ कर देगा।
+1 बहुत ही रोचक सवाल। मैं अब तक इस बारे में अनजान था। एक प्रश्न मैं आपसे पूछना चाहता था, क्या आप सदस्यता का उपयोग करते समय पासवर्ड को परेशान कर रहे हैं या आप उन्हें सादे पाठ में संग्रहीत कर रहे हैं? – Seany84
दो लवण के साथ हैशिंग। लेकिन इससे कोई फर्क नहीं पड़ता क्योंकि पासवर्ड ASP.NET के अनुरोध में स्पष्ट पाठ में दिखाई देता है और इस प्रकार डंप में। साथ ही, सदस्यता प्रदाता प्राप्तकर्ता की प्रतिलिपि स्पष्ट रूप से दिखाई दे रही है। और फिर आपके हैंश किए गए पासवर्ड की एक प्रति भी है। – bloudraak
यदि आप व्यवस्थापक नहीं हैं, तो आपको चरण 4 में डंप नहीं मिल सकता है। यदि आपके पास कोई डंप नहीं है, तो आप निम्न चरणों का पालन कैसे कर सकते हैं? यदि आप निम्न चरणों का पालन नहीं कर सकते हैं, तो आपकी चिंता कहां से आती है? –