当我使用appcmd list appool <ApplicationPoolName> /text:*命令时,它会以明文显示应用程序池标识密码。我还可以使用Get-WMIObject在PowerShell中查看明文中的密码。这可能是一个严重的安全威胁,因为具有正确访问凭据的用户可以很容易地查看密码。IIS中的应用程序池(v7.5)是使用域用户帐户/密码配置的。在applicationHost.config文件中,密码使
用户将选择一个可以在一生中保持不变的密码。我们需要对明文进行多次加密。然而,我们保证每一次,明文都是不同的。明文保证为256位.密文将在公共领域。因此,拥有密码的用户可以派生明文。如果我们使用异或密码 (C = P ^ K和P = C ^ K),这个系统是否安全。我们的选择是使用AES或chacha20-poly1305。