CWE ID: 13
Name: ASP.NET Misconfiguration: Password in Configuration File
Das Speichern eines Klartext-Passworts in einer Konfigurationsdatei ermöglicht jedem, der Zugriff auf die Datei hat, Zugriff auf die passwortgeschützte Ressource, was diese zu einem leichten Ziel für Angreifer macht. Eine solche Praxis stellt ein erhebliches Sicherheitsrisiko dar und sollte durch die Verwendung von sicheren Alternativen wie encryption, hashing mit salting, oder die Nutzung von key management systems vermieden werden. Die Implementierung von least privilege Prinzipien und regelmäßige security audits sind unerlässlich, um solche Schwachstellen zu identifizieren und zu beheben.
Effektivität: Unknown
Beschreibung: Anmeldedaten, die in Konfigurationsdateien gespeichert sind, sollten verschlüsselt werden. Verwenden Sie dabei standardisierte APIs und branchenweit akzeptierte Algorithmen, um die in Konfigurationsdateien gespeicherten Anmeldedaten zu verschlüsseln. Die Verwendung von encryption keys sollte dabei unter Berücksichtigung von Best Practices für key rotation und secure storage erfolgen, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Eine regelmäßige Überprüfung der encryption protocols und der eingesetzten cryptographic libraries ist essenziell, um sicherzustellen, dass die eingesetzten Methoden weiterhin robust gegen aktuelle Bedrohungen sind.
