An Alle Pro Cracker ;p

tolio · 05/24/2013, 19:55

Quote:

Originally Posted by -Rainbow

Normal kann nur meine Software auf die .php zugreifen. (Software hash, dieser wird in der PHP eingebaut.)

den hash kann man ohne probleme wiresharken sonst die verbindung lokal umleiten und da den query string ändern, es gibt keine möglichkeit queries sicher vom programm zu schicken

dready · 05/24/2013, 22:40

Glaub mir, auch wenn einige Leute hier sehr harsch rüberkommen, sie alle sind in dem Thread weil sie dir helfen wollen

Du reißt hier gerade ein Scheunentor großes Loch in deinen Server, im besten Fall mit unmengen Arbeit kannst du die SQL queries so verstecken, das es ein paar Minuten aufwand wäre an sie zu kommen.

Der allerste Satz den man bei jeder Art von Client-Server Programm im Kopf haben sollte ist: Der Client gehört dem Feind. Kein Einziges Wort von ihm kann man als richtig ansehen.

Dein Fehler liegt im Design deines Lizens Systems, es darf keine Querys zum Server geben direkt von deinem Client, der Client sollte auf etwas auf dem Webserver zugreifen, in welcher Sprache auch immer, Der Server selbst nimmt dann diese Values, valdiert das auch kein Müll drin ist, und macht dann mit diesen Values den eigentlichen Request an deine DB. Solang du dann Sql Injections im Hinterkopf behälst bekommst du auch ein einigermassen vernüftiges System zusammen.

Acin™ · 05/25/2013, 09:57

Quote:

Originally Posted by dready

Glaub mir, auch wenn einige Leute hier sehr harsch rüberkommen, sie alle sind in dem Thread weil sie dir helfen wollen Du reißt hier gerade ein Scheunentor großes Loch in deinen Server, im besten Fall mit unmengen Arbeit kannst du die SQL queries so verstecken, das es ein paar Minuten aufwand wäre an sie zu kommen.

Der allerste Satz den man bei jeder Art von Client-Server Programm im Kopf haben sollte ist: Der Client gehört dem Feind. Kein Einziges Wort von ihm kann man als richtig ansehen.

Dein Fehler liegt im Design deines Lizens Systems, es darf keine Querys zum Server geben direkt von deinem Client, der Client sollte auf etwas auf dem Webserver zugreifen, in welcher Sprache auch immer, Der Server selbst nimmt dann diese Values, valdiert das auch kein Müll drin ist, und macht dann mit diesen Values den eigentlichen Request an deine DB. Solang du dann Sql Injections im Hinterkopf behälst bekommst du auch ein einigermassen vernüftiges System zusammen.

Diese Daten vom Webserver müssten dann doch auch in den Programmcode?

Fehlgeschlagen · 05/25/2013, 10:42

Quote:

Originally Posted by -Rainbow

Diese Daten vom Webserver müssten dann doch auch in den Programmcode?

Fang noch mal von ganz vorn an. Am besten mit Visual Basic und
arbeite dich Schritt für Schritt hoch.

Acin™ · 05/25/2013, 10:45

Quote:

Originally Posted by Fehlgeschlagen

Fang noch mal von ganz vorn an. Am besten mit Visual Basic und
arbeite dich Schritt für Schritt hoch.

Das war eine Gegenfrage für ihn.
Ich soll es ja vermeiden, die Querys im Programm zu halten.
Wenn sie auf einem Webspace sind, muss man die Daten von diesem Server ja wiederrum auch im Quellcode angeben?

Schlüsselbein · 05/25/2013, 11:26

Quote:

Wenn sie auf einem Webspace sind, muss man die Daten von diesem Server ja wiederrum auch im Quellcode angeben?

Nein. Genauso wenig, wie ich die Zugangsdaten zum Server von elitepvpers.com brauch, um diesen Beitrag hier in die Datenbank schreiben zu lassen.

tolio · 05/25/2013, 11:46

php ist eine serverseitige sprache, dh der quellcode ist nur dem server bekannt aber nicht von außen einseh oder änderbar, sondern von außen sieht man nur "das ergebnis" des codes

und genau das ist der knackpunkt

Acin™ · 05/25/2013, 12:07

Quote:

Originally Posted by tolio

php ist eine serverseitige sprache, dh der quellcode ist nur dem server bekannt aber nicht von außen einseh oder änderbar, sondern von außen sieht man nur "das ergebnis" des codes

und genau das ist der knackpunkt

Ja, aber wenn mein Programm genau diese PHP mit den Querys anspricht, kann es doch jedes andere Programm auch?

Schlüsselbein · 05/25/2013, 12:15

Deswegen übernimmt dein PHP-Script nicht einfach nur Querys. Du übergibst dem Script z.B. nur die HWID. Das Script bastelt daraus ne Query und fragt die DB ab.

tolio · 05/25/2013, 12:59

bsp:
dein programm sendet: "123456abcd"
und in php wird dann das so zusammengesetzt:
"select .... where hwid = " + [das übergebene]
also, "select .... where hwid = '123456abcd'"
und gibt in irgendeiner form das ergebnis zurück

sicher kann das jetzt jeder ansprechen ist aber total wayne weils niemand missbrauchen kann, egal was man jetzt statt dem "123456abcd" sendet, es wird immer nur ein select gemacht und somit ist kein drop, insert, update etc an der stelle möglich

einfach noch das was angenommen wird escapen und dann biste auf der ganz sicheren seite (mysql_real_escapestring oder sowas nennt sich das)

Acin™ · 05/25/2013, 13:19

Okay, danke.
Noch welche Tutorials dafür?
Gut verständliche bzw. Deutsche sind am besten.

Gruß

tolio · 05/25/2013, 13:24

da findest du alles was du brauchst, natürlich nicht 1:1 kopieren sondern deinen vorgaben anpassen, aber alle relevanten funktionsweisen sind da drin

€dit, unten im zweiten teil wirds realisiert mit nem webbrowser, mach das mit webrequests sonst sieht das ganz ok aus

Acin™ · 05/25/2013, 14:51

Wie müsste ich es dann abändern?
Mit einem Webbrowser im Login zu Arbeiten tue ich mir nicht an.
Kann man die Daten nicht direkt ans PHP Script geben?

Gruß

tolio · 05/25/2013, 14:57

bitte lern die grundlagen

Netzgeist · 05/25/2013, 15:13

Für jetzt und alle Zukunft:

ALLES was vom Benutzer/Client/Proxy/Gate/Netzwerk an Daten zu deinem Programm kommt ist FEINDLICH. Ja, auch header, cookies, refferers, serialisiertes. Wann immer du sowas innerhalb der Serverseite verarbeitest frag dich "was könnte da schlimmstenfalls drinnstehen?"

Und hier scheinbar wichtiger: Wann immer du dir diese Frage nicht absolut sicher beantworten kannst, mach die IDE zu und recherchiere.