עצלנות של מפתחים ואבטחת מידע – והפעם כיצד לעקוף את הבדיקה שטלריק עושים האם קניתם את המוצר (2014)

יום שישי, מרץ 21, 2014

בפוסט בעבר כתבתי כיצד לעקוף את הבדיקה של טלריק – ציינתי שם שהמטרה לא לגנוב אותם (כי אנחנו קונים רשיונות) אלא ההודעה המעצבנת שעולה כל פעם בזמן הפיתוח. לאחרונה אני כותב POC עבור לקוח ואני משתמש בפקדים של WPF של טלריק – ושוב ההודעה המעצבנת שלהם עולה בכל פעם שאני מפעיל את האפליקציה. ניסיתי להשתמש בטריק מהפוסט הקודם – וזה לא בדיוק עבד, לאחר שיטוט ב – reflector ראיתי שהם אכן שינו את הקוד, ולמעשה יש להם dll נפרד במידה ואני משתמש בגרסת הניסיון, יש להם היכן שהוא בדיקה שבמידה והתוכנה אין לה public key מסויים (כנראה תוכנה אצלם)...
תגובה אחת

Windows Api Demos 2 – Simple Key Logger

יום שישי, ספטמבר 14, 2012

התבקשתי לכתוב Key Logger פשוט עם הדרישות הבאות: לקבל כל הקשת תו במקלדת בכל תוכנה שהיא שרצה על מערכת ההפעלה. להציג את הפרטים הבאים: KeyCode – כלומר התו במקלדת. להציג האם אחד מהמקשים הבאים לחוץ: Alt, Sift, Control, Numlook, Capslook. את הפרש הזמן בו המקש נלחץ....
3 תגובות

עצלנות של מפתחים ואבטחת מידע – והפעם כיצד לעקוף את הבדיקה שטלריק עושים האם קניתם את המוצר (2)

יום שישי, מרץ 30, 2012

  אני יודע שהפוסטים הללו לא בהכרח קשורים כך כך לאבטחת מידע - אבל בעקיפין אם נכתוב קוד לא נכון שניתן לכתוב קוד שיעקוף אותו סביר להניח שזה יכול גם לגרום לבעיות באבטחת מידע.   באחד הפוסטים סיפרתי כיצד לעקוף את ההודעה המעצבנת של טלריק בזמן פיתוח אם אין לכם רישיון, בפוסט זה אני אראה כיצד לעקוף אותם בחבילה שלהם לעולם ה - Windows Forms.     רק להבהיר שחלילה לגנוב מהם, ותמיד כשאני מעלה מוצר לאויר שמשתמש בטלריק אני דואג שיהיה רשיון, המטרה בפוסט היא לבהיר כיצד ניתן לכתוב קוד גרוע - (וגם איך לעשות לנו כמפתחים חיים קלים יותר בשלב הפיתוח - וכמובן איזה...
תגיות: , ,
2 תגובות

עצלנות של מפתחים ואבטחת מידע – והפעם שימוש ב – reflector

יום חמישי, נובמבר 17, 2011

  בפוסט הקודם תיארתי כיצד לעקוף את הבדיקה של טלריק האם המוצר נקנה או שהוא גרסת ניסיון - על הדרך הבטחתי לספר איך להשתמש ב - reflector.   אמנם פוסט זה לא כל כך קשור לאבטחת מידע (או לעצלות של מפתחים) אבל הוא דומה לפוסט הקודם.   למי שלא מכיר את reflector   ה - reflector הוא אחד מהכלים המדהימים ביותר שיצאו אי פעם כדי לעזור למפתחים, לצערי הרב מתי שהוא הם החליטו לגבות כסף על התוכנה (35$ לגרסה הבסיסית ו - 95$ לגרסה המלאה).     כרגיל אני אדגיש שאני חלילה לא מעודד לגנוב אותם, אלא רק מראה עד כמה חשוב לכתוב קוד נכון.   במידה ויש לכם את הגרסה...
7 תגובות

עצלנות של מפתחים ואבטחת מידע – והפעם כיצד לעקוף את הבדיקה שטלריק עושים האם קניתם את המוצר

יום רביעי, נובמבר 16, 2011

  בפוסט הקודם הראיתי עד כמה מפתחים לא חושבים מספיק על כל הנושא של אבטחת מידע.   היום אני אראה משהו דומה ונראה עד כמה מפתחים כותבים לפעמים בצורה מגוכחת.     אחד הכלים החשובים ביותר בכל סביבת פיתוח - היא הפקדים של טלריק, בכל סביבה שבה אני עובד (win form, web, wpf, silverlight) אני משתדל שיהיה לי את היכולת להשתמש בפקדים שלהם.   כמובן שהפקדים עולים כסף (ובכלל לא זול - בסביבות 1000$ עבור סביבה אחת - אבל זה שווה כל שקל), חשוב שיהיה ברור שאני לא מעודד לגנוב אותם חלילה - מטרתי בפוסט זה היא רק להראות עד כמה חשוב לכתוב קוד נכון.   בימים אלו יצא לי לראשונה להשתמש...
46 תגובות

עצלנות של מפתחים ואבטחת מידע

יום שבת, נובמבר 12, 2011

  קיימים הרבה גורמים לבעיות באבטחת מידע אבל אחד מהגורמים העיקריים לבעיות אלו זה אנחנו - המפתחים - לפעמים אנחנו לא מודעים (או מתעצלים להיות מודעים) לכתיבה של קוד נכון שיהיה מאובטח לפחות ברמה מינימלית.   חבר הראה לי משחק טריוויה באתר נענע בשם "לעוף על המליון" - אני לא משחק במחשקי מחשב בכלל, אבל כשהוא הראה לי את המשחק ה - Fiddler היה פתוח (אני מאוד מקווה שאתם מכירים את הכלי הזה - אחרת רוצו ללמוד אותו).   בכל מקרה, הצצתי על הפידלר ולתדהמתי אני רואה שבכל פעם שיש שאלה חדשה נשלח כמובן Request עם בקשה לשאלה חדשה, והנה ה - Response       אני מקווה שאתם...
17 תגובות

Unload OfficeScan

יום ראשון, מאי 8, 2011

  אחד מהאנטי וירוס הנפוצים בחברות הוא OfficeScan (עושה את העבודה נהדר).   הבעייה אם אתם רוצים לסגור אותו לכמה דקות מכל סיבה שהיא, הוא ירצה ממכם סיסמא שכנראה אין לכם ובסיר להניח שגם מנהל הרשת שכח אותה.   הפתרון פשוט.   גשו לספרייה C:\Program Files (x86)\Trend Micro\OfficeScan Client חפשו קובץ בשם:OFCSCAN.INI פתחו אותו, וחפשו מקטע בשם Unload_Pwd   הערך שיש בו מוצפן ב - MD5   שנו את השורה כך שתראה כך: Unload_Pwd=!CRYPT!111e8dc4081b13434b45189a720b77b6818   כעת הסיסמא שלכם היא: abcdefgh.   תהנו.   הפוסט מתבסס על האתר הזה
תגיות: ,
אין תגובות

למה חשוב לבדוק IsValid בצד השרת כשמשתמשים עם validators (איך אפשר לעקוף (לפרוץ) את הבדיקות בצד הלקוח)

יום שישי, ינואר 1, 2010

   (זהו פוסט ה - 200 שלי, ואני חושב שזהו הפוסט הראשון בבלוגייה של השנה הלועזית החדשה)   שיש לכם דף עם תיבת טקסט שמוצמד אליו RequiredFieldValidator ולחצן. בזמן לחיצה כותבים על הדף את השעה הנוכחית.   הקוד נראה כך:   <asp:TextBox runat="server" ID="txt1" /> <asp:RequiredFieldValidator ErrorMessage="*" ControlToValidate="txt1" runat="server" />   <asp:Button Text="text" runat="server" ID="btn" OnClick="btn_click" />  צד השרת:     protected void btn_click(object sender, EventArgs e) {Response.Write(DateTime.Now.ToLongTimeString()); }   כשנריץ נראה את הדף הבא       אם ננסה ללחוץ על הלחצן ללא ערך בתיבת הטקסט לא תתבצע ריצה לשרת ואחנו נראה כוככבית ליד תיבת הטקסט       כעת נראה איך כל האקר מתחיל עוקף את הבדיקה.   בהנחה שיש לכם IE8 מותקן לכם IE Developer Toolar במידה ויש לכם IE7 תוכלו להוריד את...

כנס האקרים הישראלי – חלק ראשון

יום ראשון, מאי 24, 2009

  קודם כל, תודה לאבי שעדכן אותנו על הכנס.   הגעתי בשעה 3:15, היה תור די גדול בעמדת ההרשמה, היינו אמורים להתחיל ב 4:30 בהרצאות, כנראה שעקב העומס, זה נדחה,   בשעה 4:45 (איחור סביר) נסגרו הדלתות, (ניסיתי לשמור לך מקום, אבי)   התחיל לדבר עו"ד יהונתן קלינגר על דמות ההאקר איך שהוא מוצג על ידי הוליווד, בסופו של ההרצאה יצאנו עם רשימת סרטים חדשים שלא ראינו שמציגות האקרים בפעולה.   לאחר מכן, דיבר יניב מירון (מארגן הכנס) על Steganography - שבסופו של דבר הצלחתי להבין שההבדל בין Steganography להצפנה, שבהצפנה ההאקרים יודעים שיש מידע אבל הוא בלתי קריא, וב - Steganography אף אחד לא יודע,   יניב גם הביא דוגמא...
תגיות: ,
4 תגובות

נכון שה CAPTCHA באתר הוא סתם לעצבן את המגיבים ? לקרוא ולא להאמין

יום שלישי, דצמבר 30, 2008

  אחד מהתחביבים שלי, זה לבדוק security של אתרים, אתם יודעים אפילו דברים פשוטים כמו xss, Sql Injection ועוד. לפני כמה ימים רציתי להוריד את קובץ ה css של האתר, כדי לראות איזה classes אני צריך לדרוס אם אני רוצה לשנות את המראה של הבלוג שלי כמו שגיא כתב כאן. אז כשהסתכלתי על ה source של האתר ראיתי שם של פונקצייה ב java script שמיד הדליק לי את כל נורות האזהרה, אז חבשתי את כובע ההקאר שלי והתחלתי להסתכל על הקוד,   לפני שנתחיל, שווה שנייה להבין למה צריך CAPTCHA, לכאורה הסבה העיקרית היא שלא לאפשר למתכנתים לכתוב קוד שימלא את האתר בספאם, או לדוגמא...
תגיות: ,
5 תגובות