DPAPI解密

Question

我希望使用的一个应用程序是使用DPAPI加密客户端秘密，作为OAuth2身份验证流的一部分。域服务帐户将用于使用存储在CyberArk中的密码进行加密。

我想弄明白有人怎么能解密客户的秘密。根据我所做的研究，恶意参与者将需要获得服务帐户的密码，然后使用第三方工具(如DataProtectionDecryptor by NirSoft)解密客户端机密。

我的理解正确吗？一旦这个实例中的服务帐户的密码被知道，DPAPI就变得无用了吗？

Answer 1

如果你能够以服务的身份登录，你可以调用DPAPI，所以如果你有密码，那就不太好了。

如果您可以让代码在帐户的上下文中执行，也可以通过注入漏洞来执行，您也可以使用它解密。

Powershell具有调用[Security.Cryptography.ProtectedData]::Unprotect的能力，例如，在帐户上下文下，它会给出秘密。