Witam, mam prosbe dotycząca zabezpieczenie mojego programu, tj. Bot do przeglądarek via www. Mamy połączenie do bazy na vipserv.org, i na innym forum dostałem wskazówki, iż nasze zabezpiecznia mogą zostać bardzo łatwo złamane poprzez wyjęcie wszystkiego z programu, bo wszystko jest na programie, chociaz hasla są w bazie, zainteresowanych pomocą gg: 6603485
dziękuje
Ale hasło logowania do bazy pewnie macie w programie?
Tak
Czyli ktoś może sobie wyciągnąć hasełko i zrobić w bazie co chce
A umiałbyś takie dane z programu wyciągnąć?
Jeżeli są w programie, to można je wyjąć. Z mniejszym bądź większym trudem, ale można.
Zastanawiam się natomiast, czy nie wystarczyłoby uruchomić jakiegoś sniffera czy coś podobnego, aby nasłuchiwało na kartę np.WiFi i patrzeć jak dane przez nią lecą, tam można by wyłapać nazwę użytkownika i hasło.
Chciałbyś coś takiego spróbować? Jeżeli tak to proszę, napisz na gg, możesz naprawdę pomóc
Vertek napisał(a):
A umiałbyś takie dane z programu wyciągnąć?
Z programu napisanego w .NET?
Bez problemu: http://ilspy.net/
Wyciągnąłbyś te dane gdy program połączyłby się z bazą czy nawet gdy dane leżą nieużywane?
Cały connectionstring masz w aplikacji więc można je wyciągnąć nawet jak nie uzywasz programu a później w dowolnej chwili łączyć się na "lewo" z twoją bazą. Wystarczy że ktoś ma twój prograamik u siebie na komputerze
a_s_f - mógłbyś się ze mną skontaktować na gg?
Nie używam gg. Ściągnij IlSpy tak jak pisał Somekind, otwórz w nim swój program a sam zobaczysz, że wszystko widać :)
Użyłem tego programu i aż sam się zdziwiłem, z mego pliku exe. można wyciągnąć cały source tego program...
Dokładnie.
A jeśli napiszę w PHP skrypt, który będzie łączył się z SQL to czy będzie można łatwo ze skryptu PHP wydobyć dane do bazy?
to czy będzie można łatwo ze skryptu PHP wydobyć dane do bazy
Praktycznie nie będzie można w ogóle, o ile ktoś nie dostanie się do kodu źródłowego tego pliku (np.poprzez włamanie się na serwer FTP).
Natomiast można wykryć, że program się łączy z tym plikiem i samemu potem wykonywać zapytania.
Właśnie, mogą przecież otworzyć program IlSpy i zobaczyć do czego program wykonuje zapytania. Będzie możliwe tylko wykonywanie zapytań, lecz do danych bazy się nie dostaną?
Raczej się nie dostaną, lecz ja tego nie wiem na 100%