|
Wer kann mir das Passwort sagen?
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
ich habe mal einen kleinen Test gemacht. Bei dem Klick auf Button1 passiert etwas für den Anwender nicht sichtbares. Im Hintergrund wird ein Passwort gespeichert. Könnt ihr es mir sagen. Es geht nicht darum, die Passwort-Funktion zu patchen, damit sie garnicht erst aufgerufen wird - ich möchte nur wissen, ob ihr mir das Passwort nennen könnt, und was passiert... Danke! PS: Das ganze hat schon einen Sinn. Werde auch zeigen, wie das Funktioniert, was ich gemacht habe. Hier nochmal ein Auszug aus der PN, die ich Sakura geschrieben habe "Natürlich werde ich zeigen, wie das geht. Nur wenn ich es jetzt zeige, dann haben die Leute hier (die ja die Cracker/Hacker simulieren) schon Infos, die ein echter nicht hat. Das verfälscht doch das Ergebnis. " |
DP-Maintenance
Dieses Thema wurde von "sakura" von "Programmieren allgemein" nach "Klatsch und Tratsch" verschoben.
Hat hier nichts verloren -> K&T |
Re: Wer kann mir das Passwort sagen?
dann wären wir aber wieder bei der Frage: Welchen sinn hat das? Keiner wird versuchen ein Passwort heraus zu finden was er nicht benötigt.
|
Re: Wer kann mir das Passwort sagen?
Zitat:
 www.saschamueller.net, oder was wollteste wissen? :roll: |
Re: Wer kann mir das Passwort sagen?
der prg verbindet sich auf diese webseite:
http://www.saschamueller.net/export.phpund bekommt das hier übermittelt (der client):
Code:
da nichts zu deinen server übertragen wird schenke ich mir mal mit ice da rein zu schaun.
lföjlöjasff84ttz5q34t4h3h56t3ht4u4tfht3uhgjwsvbnhj4lkrhkhslksnvföau49zz54ifhjklhcfaöwhg
|
DP-Maintenance
Dieses Thema wurde von "sakura" von "Klatsch und Tratsch" nach "Programmieren allgemein" verschoben.
Wegen netter Begründung auf Probe zurück nach Hause :zwinker: |
Re: Wer kann mir das Passwort sagen?
Okay,
habe gerade mit Sakura per PN gesprochen. Es hat schon Sinn. Und zwar habe ich ein Passwort im Internet auf www.saschamueller.net in der export.php hinterlegt. das habt ihr richtig erkannt. Aber das ist nicht das Passwort.Ich möchte wissen, wie das Passwort lautet, welches gepeichert wird, wenn man auf Button1 klickt. Wenn es keiner rausbekommen sollte, oder wenn es jemand rausbekommt, sage ich natürlich was dahinter steckt. Nur möchte ich zuvor wissen, wie lange es ohne Zusatzwissen dauert, an das PW zu kommen. Ich möchte diese Technik nämlich gerne bei mir im echten Programm einsetzen. Nach einer gewissen Zeit werde ich alles genau beschreiben und auch das Passwort nennen. Aber der lange String war es nicht, das PW. Das habe ich an Sakura in der PN geschrieben Zitat:
|
Re: Neue Idee
ich sehe keine notwendigkeit weiterzumachen.
ich weiss was deine webseite schickt - also kann ich auch das gleich an dein programm schicken. den webzugriff bekommt man leicht umgebogen. ich brauch den inhalt also garnicht wissen. |
Re: Wer kann mir das Passwort sagen?
Doch musst du, weil aus diesem String wird das PW generiert, welches in die ZeosKomponente für einen DB-Zugriff geschrieben wird.
Das PW muss also aus dem INet geladen werden. Der String aus der export.php beinhaltet das PW.. aber wie - das ist die Frage! |
Re: Wer kann mir das Passwort sagen?
Zitat:
Gruß Der Unwissende |
Re: Wer kann mir das Passwort sagen?
Nein, folgendes:
Ich möchte zu einer DB verbinden. Nur möchte ich das Passwort nicht lokal speichern, weil dann einer das PW nehmen könnte, sich mit dem PW in die DB einloggen kann und somit auch alle Daten löschen kann. Also wollte ich das PW aus einer Datei im Netz laden, aus einem langen String an verschiedenen Stellen zusammensetzen und dann in die Komponente Zeos.Password schreiben. So hätte ich das PW nicht auf der Festplatte und sogar noch als langen "seltsamen" String. Nur mein Prgramm nimmt die richtigen Stellen und bastelt sich das PW wieder zusammen. So kann kein 3. sich ein Prog schreiben und die DB vernichten - denke ich... |
Re: Wer kann mir das Passwort sagen?
Hmm wuerde auf die schnelle sagen pw ist z5qj4l bin mir aber nicht 100%ig sicher, weil es nicht verglichen wird.
--win32 |
Re: Wer kann mir das Passwort sagen?
du hast mich vieleicht nicht verstanden.
dein programm kann gerne das pw aus dem internet abrufen. ich muss das pw nicht kennen. ich kann das encodiert pw nehmen und in dein programm füttern. dann akzeptiert es das, weil es es für mich entschlüsselt. dann damit an der datenbank anmeldet. Zitat:
nein, verschlüsseln bringt nichts. man in the middle ist da das stichwort. wenn ich zugriff auf den db-server habe setze ich lieber das admin pw neu. geht schnell und einfach (egal welche db). |
Re: Wer kann mir das Passwort sagen?
Hi,
darf man fragen welche Datenbank du verwendest? Lemmy |
Re: Wer kann mir das Passwort sagen?
Das Passwort z5qj4l ist korrekt. Wie hast du das rausgefunden? Ihr wisst ja, was ich vorhabe, wie kann ich das System verbessern? Ich werde MySQl5 verwenden. Noch habe ich aber keine installiert.
|
Re: Wer kann mir das Passwort sagen?
verbessern geht in dem Sinne gar nicht. Passwörter sollten einfach generell nicht auf die Nutzerseite gelangen. Besser wäre einfach einen Account einzurichten welcher nur beschränkte Rechte besitzt.
Und wie bereits beschrieben wurde lässt sich das Passwort noch einfacher rausfinden wenn man einfach das Verbinden zur Datenbank abhört bzw. die Datenbank abschaltet und sein eigenes Programm auf den Port setzt und das Login somit von deinem Programm bekommt. |
Re: Wer kann mir das Passwort sagen?
Gut, aber ich MUSS mich zu einer entfernten DB verbinden, MUSS dem Benutzer erlauben, dass er Datensätze löschen darf und damit der User zugreifen kann, MUSS er ja auch das DB haben... Was mach ich da jetzt?
|
Re: Wer kann mir das Passwort sagen?
Du kannst eine derartige Verbindung nicht sicher machen, da ich mit nem sniffer immer an dein pass komme sobald du es an den mysql server sendest!
geh den umweg über php, dann kannst du genau bestimmen was man machen kann...ansonsten mysql server vernünftig konfigurieren! |
Re: Wer kann mir das Passwort sagen?
Zitat:
|
Re: Wer kann mir das Passwort sagen?
Habs mir ollydbg gemacht.
Search for -> All referenced text strings Nach der url deiner homepage suchen -> 00467645 Breakpoint auf 0046768C(die funktion haengt die beiden strings aneinander) und nach dem call auf den stack achten. 0012F638 00A95F58 ASCII "z5q" 0012F63C 00A95F48 ASCII "j4l" 0012F640 00A95F68 ASCII "z5qj4l" << pw |
Re: Wer kann mir das Passwort sagen?
Hm,
also für jeden Datenbankvorgang eine PHP-Seite ansteurn... Das ist auch eine gute Idee, nur wie bekomme ich einzelne Result-Sets in Delph rein? |
Re: Wer kann mir das Passwort sagen?
einfach im php mit Print das Ergebnis ausgeben. Dabei kannst du ja auch angeben wie groß die auszugebenen Daten sind die folgen bzw. einen Delimiter verwenden.
Wenn alles mögliche zurück kommen kann wäre am sinnvollsten als erstes Binär zurück zu geben wie groß die folgenden Daten sind und direkt dahinter die Daten. Dann wieder wie groß die Folgedaten sind und dann die Daten.... |
Re: Wer kann mir das Passwort sagen?
Wow... arbeit! Aber ok, das muss ich auf mich nehmen... Leider!
|
Re: Wer kann mir das Passwort sagen?
also wenn man scho ein passwort verschlüsseln will dann würdsch das Passwort mit dem Passwort selber verschlüsseln. so dass das Passwort erst eingegeben wird, und aus dem eingegebenen Passwort String das eigentlich Passwort entschlüsselt wird.
naja... ich denk ma der ein oder andere weiß was ich meine :spin2: zumindestens wär es so unmöglich ein Passwort rauszubekommen. naja.. mit der BruteForce Methode scho :roteyes: |
Re: Wer kann mir das Passwort sagen?
Nun ich habe mal einen DB Zugriff über php gemacht als ausgabe habe ich eine xml struktur verwendet.
|
Re: Wer kann mir das Passwort sagen?
Joa, erledige jetzt alle Aktivitäten durch ein PHP-Script. So klappt das ganz gut...!
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:58 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz