hmm
شنبه 21 مرداد 1385, 15:48 عصر
سلام
من نرم افزار Ethereal رو نصب کردم و شروع کردم به capture کردن
خواستم ببینم برنامه من که با sqlserver کار میکنه چقدر آسیب پذیره
دیدم این نرم افزار موقع login کردن برنامه به دیتابیس آنرو بعنوان login packet شناسایی کرده و حتی تونسته user name و database name و سایر متعلقات connection string رو بیاره فقط جای psaaword رو خالی گذاشته ولی در پنجره پایین که تمامی کدهای hex رو آورده بود یه سری مقادیر جای password گذاشته شده بود که وقتی اونها رو به decimal تبدیل کردم چیزی دستگیرم نشد یعنی اون پسورد من نبود ( کاراکترهای عجیب و غریب بود) حالا میخواستم ببینم که ado.net یا ado بصورت اتوماتیک رمز رو encrypt میکنن یا Ethereal رمز رو نشون نمیده یا شاید تنظیم خاصی داره ولی بهرحال من از روشی یا تنظیمی جهت کد گذاری پسورد کانکشنم استفاده نکردم
آیا راهی وجود داره که این پسورد کشف بشه (البته من پسورد رو دارم فقط میخوام بدونم ایهاالناس هم میتونن به این سادگی پسورد اصلی کانکت به سرور رو sniff کنن)
ممنون
من نرم افزار Ethereal رو نصب کردم و شروع کردم به capture کردن
خواستم ببینم برنامه من که با sqlserver کار میکنه چقدر آسیب پذیره
دیدم این نرم افزار موقع login کردن برنامه به دیتابیس آنرو بعنوان login packet شناسایی کرده و حتی تونسته user name و database name و سایر متعلقات connection string رو بیاره فقط جای psaaword رو خالی گذاشته ولی در پنجره پایین که تمامی کدهای hex رو آورده بود یه سری مقادیر جای password گذاشته شده بود که وقتی اونها رو به decimal تبدیل کردم چیزی دستگیرم نشد یعنی اون پسورد من نبود ( کاراکترهای عجیب و غریب بود) حالا میخواستم ببینم که ado.net یا ado بصورت اتوماتیک رمز رو encrypt میکنن یا Ethereal رمز رو نشون نمیده یا شاید تنظیم خاصی داره ولی بهرحال من از روشی یا تنظیمی جهت کد گذاری پسورد کانکشنم استفاده نکردم
آیا راهی وجود داره که این پسورد کشف بشه (البته من پسورد رو دارم فقط میخوام بدونم ایهاالناس هم میتونن به این سادگی پسورد اصلی کانکت به سرور رو sniff کنن)
ممنون