Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + tecnología especializada

Configurar credenciales cifradas

Nuestros ethical hackers explican cómo evitar vulnerabilidades de seguridad mediante la configuración segura de credenciales en ASP.NET. Al cifrar las credenciales se disminuyen los riesgos vulnerar la aplicación, lo cual permite crear aplicaciones web computacionalmente seguras.

Necesidad

Credenciales cifradas en web.config

Contexto

A continuación se describe las circunstancias bajo las cuales la siguiente solución tiene sentido:

  1. Se utiliza el framework .NET.

  2. Se desarrolla una aplicación web con ASP.NET.

  3. Se desean cifrar las cadenas de conexión a base de datos en el archivo web.config.

Solución

  1. Cifrar y descifrar secciones de configuración: Es posible utilizar la Herramienta Registro de IIS de ASP.NET (Aspnet regiis.exe) para cifrar o descifrar secciones de un archivo de configuración Web. ASP.NET descifrará automáticamente los elementos de configuración cifrados al procesar el archivo Web.config. La herramienta Aspnet_regiis.exe está ubicada en la carpeta %WINDIR%\Microsoft.NET\Framework\versionNumber. También puede utilizar las clases de configuración protegida del espacio de nombres System.Configuration para cifrar y descifrar secciones de un archivo de configuración Web, secciones de un archivo de configuración para un ejecutable (.exe) o secciones de los archivos de configuración en el equipo y en la aplicación.

  2. Cifrar una sección de configuración Web: Para cifrar el contenido del archivo de configuración, utilice la herramienta Aspnet_regiis.exe con la opción –pe y el nombre del elemento de configuración que se va a cifrar. Utilice la opción –app para identificar la aplicación para la cual se va a cifrar el archivo Web.config y la opción -site para identificar el sitio Web del que forma parte la aplicación. El sitio Web se identifica utilizando el número del sitio de la metabase de los servicios de Internet Information Server (IIS). Puede recuperar el número del sitio desde la variable del servidor INSTANCE META PATH de la colección ServerVariables. Por ejemplo, cuando está instalado IIS, se crea un sitio Web denominado Default Web Site como sitio 1. En las páginas que provienen de ese sitio, la variable del servidor INSTANCE META PATH devuelve /LM/W3SVC/1. Si no especifica una opción -site, se utiliza el sitio 1. Utilice la opción –prov para identificar el nombre del ProtectedConfigurationProvider que llevará a cabo el cifrado y descifrado. Si no especifica un proveedor mediante la opción -prov, se utilizará el proveedor configurado como defaultProvider. A continuación se presenta el comando encargado de cifrar el elemento connectionStrings del archivo Web.config para la aplicación SampleApplication. Dado que no se incluye ninguna opción -site, se asume que la aplicación es del sitio Web 1 (mejor conocido como Default Web Site en IIS). El cifrado se realiza utilizando el RsaProtectedConfigurationProvider especificado en la configuración del equipo.

    customcred.bat
    1
    2
    aspnet_regiis -pe "connectionStrings" -app "/SampleApplication"
      -prov "RsaProtectedConfigurationProvider"
    
  3. Descifrar una sección de configuración Web: Para descifrar el contenido del archivo de configuración, utilice la herramienta Aspnet_regiis.exe. Use el modificador -pd y el nombre del elemento de configuración que se va a descifrar. Utilice los modificadores –app y -site para identificar la aplicación para la que se va a descifrar el archivo Web.config. No es necesario especificar el modificador –prov para identificar el nombre del ProtectedConfigurationProvider. Ésto debido a que esa información se lee desde el atributo configProtectionProvider de la sección de configuración protegida. El siguiente comando descifra el elemento connectionStrings del archivo Web.config para la aplicación SampleApplication :

1
aspnet_regiis -pd "connectionStrings" -app "/SampleApplication"



Haz un comentario

Estado de los servicios - Términos de Uso