幫某大公司做內部系統時,被Security team安全性掃描檢查出密碼可能外洩的問題
主要是因為開發時會將一些設定,例如:DB連線字串定義在Web.config中,明碼可能有安全疑慮吧
所以參考了這個方式對方也算是接受了
首先用系統管理員執行CMD
然後切換到aspnet_regiis.exe的執行位置(如果已經設定過環境變數可以直接找到指令就請略過這個步驟)
cd C:\Windows\Microsoft.NET\Framework\v4.0.30319
最後執行 aspnet_regiis.exe -pef appSettings <你的專案目錄>
執行成功後會看得到有Successed字樣,如果失敗的話就要看一下錯誤訊息了
通常比較有可能是目錄不對或者權限不足
成功後就可以打開你的web.config確認一下結果
真的跟鬼一樣,你絕對看不出來原本是什麼
能夠加密當然就能夠解密
就在這裡 aspnet_regiis.exe -pdf appSettings <你的專案目錄>
我沒打錯,就是pef/pdf的差別而已,估計是Encrypt/Decrypt吧