بررسی امنیت Connection String در ASP.NET

amir_3d_mad · 20 دسامبر 2007

سلام .
میدونید که هدف اکثر هکرها ، دستیابی به دیتابیس سایتها هست .
یعنی یه هکر پس از انجام بسیاری از عملیات مخرب روی یک وب سایت ، اگه بتونه دسترسی Root به اون وبسایت پیدا کنه ، میتونه به راحتی با بازکردن WEB.CONFIG اون سایت ، به دیتابیسش دست پیدا کنه !
حال برای اینکه امنیت Connection String تا حدودی تامین بشه ، به نظر من بهتره که اونو درون WEB.CONFIG نذارم و همیشه برای استفاده از اون در صفحاتم ، اونو در کدهای پشت صفحه ذخیره کنم .
البته یه راه بهتر هم برای اینکه در هر بار استفاده ، اونو از نو تعریف نکنم اینه که Connection String رو در APP_CODE تعریف کرده و در هربار استفاده ، اونو صدا زد !
حال سوال من اینه که آیا ذهنیت من برای مخفی کردن Connection String با این روش درسته ؟ یا تاثیری در بالا بردن امنیت اون نداره ؟
اگه نه ! پس راه حل بهتر برای اینکار چیه ؟
در ضمن برای اینکه بتوانیم از سرویس MemberShip خود ASP.NET2 استفاده کنیم ، حتما لازمه که Connection String درون WEB.CONFIG ذخیره بشه که در این صورت تکلیف چیه ؟ یعنی من به هیچ وجه حاضر نیستم Connection Sring درون WEB.CONFIG باشه ! ؟ ؟ ؟

H_R · 20 دسامبر 2007

یه راه اینکریپت کردن کانکشن استرینگ اه که با الگوریتم Des و الگوریتم های شبیه به اون میتونید انجام بدید . سه سرچ بکنید ، توی اینترنت پیدا میشه

... گرچه ! حتی اگر این کار رو بکنید هم وقتی هکری به web.config شما دسترسی پیدا کنه کار سایت و دیتابیس و همه چی شما تمومه ! چون اون سرور مشکل داره ! دیگه فرقی نداره از اون طرف هم نمیتونید از سرویس ممبرشیپ استفاده کنید ! مشکلی نداره در حالت عادی ولی استفاده کنید به صورت معمول !

فوقش دیتابیستون رو پاک میکنه بک آپش رو رو استور میکنید سرورتون رو عوض میکنید دیگه !

Graveworm · 22 دسامبر 2007

از یه host خوب استفاده باید کرد که به روز باشن و Update که سریع patch های مربوط به انواع exploit ها رو نصب کنن، چون هر چقدر راه های نفوذ در برنامه نویسی بسته شه، به قول دوستمون، اگه بشه به وب سرور و ftp دسترسی پیدا کنه جناب هکر، هیچ کاری از عهده شما بر نمیاد
امنیت تو وب، یه طرف، developer هست و یه طرف هم میزبان

amir_3d_mad · 24 دسامبر 2007

به نظر شما این کار من منطقی هست که بیام و برای سیستم Membership ، از دیتابیسی که توی پوشه App_Data ذخیره شده ، استفاده کنم . ولی برای بقیه کارهای سایتم ، از دیتابیسی که توسط Server محیا شده ، استفاده کنم ؟

MacBook · 24 دسامبر 2007

به نظر منم در کل این کار چندان فایده ای نداره چون وقتی یک هکر دسترسی روت به سرور داشته باشه دیگه این چیزا چندان اهمیت نداره

بررسی امنیت Connection String در ASP.NET

amir_3d_mad

Registered User

H_R

مدیر بازنشسته

Graveworm

Registered User

amir_3d_mad

Registered User

MacBook

Registered User

بک‌لینک