RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, May 11. 2010

I co z tego, że jest SQLi w Płatniku?

Problem z SQL Injection nie ogranicza się tylko do webaplikacji. Również "grube" aplikacje mogą mieć ten sam problem, czego przykładem może być ta informacja: SQL injection w Płatniku. Tylko co z tego? Dla mnie wygodniejszym rozwiązaniem jest odzyskanie hasła do bazy danych i podłączenie się bezpośrednio do niej. Jeśli coś ma schrzanioną u podstaw architekturę, to błędy typu SQLi nie robią na mnie wielkiego wrażenia... Choć ciekawostka to oczywiście jest :)

Ślady
Co jest nie tak z taką architekturą (Płatnik or compatible)
Małe uzupełnienie do I co z tego, że jest SQLi w Płatniku? Napisałem, że błędy są już w architekturze programu, więc błędy w implementacji nie robią już tak dużego wrażenia. Warto przyjrzeć się temu tematowi, bo sposób działania programu Płatnik jest bard
Weblog: Wampiryczny blog
Przesłany: May 11, 21:18
Komentarze
A jak dobrze się zabezpieczyć przed odzyskaniem zakodowanego hasła z rejestru?
#1 Rafal o 2010-05-11 11:50 (Odpowiedz)
Obawiam się, że jest to dość karkołomne zadanie: http://wampir.mroczna-zaloga.org/archives/410-szyfrowanie-czy-zaciemnianie-czyli-hasla-w-konfiguracji.html
#1.1 Paweł Goleń o 2010-05-11 12:06 (Odpowiedz)
A są inne znane i dobre rozwiązania?
#1.1.1 Rafał o 2010-05-11 12:12 (Odpowiedz)
Rafał są, ale czy dobre? Na pewno nie tanie. Skype np. korzysta z zewnętrznych serwerów uwierzytelniających, do których komunikacja jest szyfrowana. Sama aplikacja instalowana u klienta jest całkiem nieźle zabezpieczona przez reverse-engineeringiem (o ile w ogóle można się zabezpieczyć przed RE, bardziej chodzi tu o utrudnianie pracy crackerowi)
#1.1.1.1 Piotr Konieczny (Strona) o 2010-05-11 13:24 (Odpowiedz)
Czyli jest tak jak myślałem. Dziwi mnie dlaczego wydawcy Płatnika, narzucają nam ten sposób zabezpieczeń. Z miłą chęcią wydelegował bym domenowego użytkownika, który byłby w bazie SQL określonym administratorem programu i żaden inny więcej.
#2 Rafał o 2010-05-11 13:49 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

httpOnly już nie tylko w IE
Wednesday, 6 February 2008
Nad mapami refleksji kilka
Saturday, 5 September 2009
Do poczytania: A roster of TLS cipher suites weaknesses
Thursday, 14 November 2013
Warto się wylogować
Wednesday, 27 October 2010
Bankowość internetowa - na co patrzeć
Tuesday, 28 April 2009
Walentynki są ZŁE
Tuesday, 13 February 2007
Do pijarowców i innych cyfrowych stratedżistów
Tuesday, 10 September 2013
O testowaniu haseł
Thursday, 25 June 2009
Znajdź błąd projektowy: wykorzystanie AJAX (część II) - rozwiązanie
Monday, 24 August 2009
I znowu góry
Sunday, 18 June 2006