بحث و تبادل نظر در مورد نرم افزار TACPP

**Meteor** · 2004-06-05, 11:24 AM

باز هم از اینکه به این تاپیک توجه میکننین ممنون و سپاسگذام .

اما شاید دقن نکرده باشین اینکه من نوشته ام ابزارهای تکمیلی تحت وب حالا شما این همه امکانات را ول کردین به املا و انشای من گیر دادین . ای بابا چند تا سئوال خوب بپرسین چند تا پیشنهاد بدین (نه اینکه بی معرفتی کنین و جواب سربالا بدینا

).مثلا کسی نپرسید که آیا میشه سطح دسترسی هم برای یک مدیر توی تک پلاس پلاس تعریف کرد یا مثلا نسخه بعدی برنامه کی میاد و چه امکانات بیشتری داره یا مثلا گزارش مصرف مرکز دقیقا چه کارهایی میتونه انجام بده .اصلا من چطور تونستم بی سیستم رمزنگاری ان تی تک برسم ایا گذاشتن امکان مخفی سازی رمز به درد میخوره یا مثلا میشه سیستمی جدا از ان تی تک رو به این برنامه اضافه کرد مثلا مدیر تک پ پی میتونه پیام خصوصی برای یکی از کاربراش بفرسته و یا اینکه اصلا گرفتن آدرس ایمیل کاربر به چه درد میخوره یا از منوی سمت راست کنسول چطور میشه استفاده کرد. بابا دریا رو ول میکنین کف دریا رو میچسبین

البته با عرض معذرت و ببخشید

**MASoft** · 2004-06-05, 09:17 PM

سلام
یه چند تا نکته !!!
همه افرادی که امنیت نرم افزار رو دست کم گرفتن و اون رو به IIS واگذار کردن٬ سرشون به سنگ خورده

اولین چیز اینه که سیستم نرم افزاری شما اطلاعات را با چه متودی تحت وب میفرسته ؟ GET یا Send ؟
سیستم فرستادن اطلاعات خود نرم افزار ٬ اطلاعات رو رمز گذاری میکنه ؟ از استاندارد های عمومی مثل MD5
استفاده میکنید یا سیستم رمزگذاری رو خودتون نوشتید ؟ سیستم وب CGI هستش یا ISAPI یا Scripting ؟
بعد اگر یه نفر یه Sniffer Logger داشته باشه٬ اطلاعات رو میتونه کاری کنه یا نه ؟ بعد این برنامتون Header
آی پی رو برای اینکه دستکاری شده باشه چک میکنه یا نه ؟ در مقابل حملات DOS چطوره ؟ در مورد ODBC اگر
در یک زمان ۲۰ نفر request بفرستند٬ چی میشه ؟

**aryagohar** · 2004-06-05, 11:22 PM

نوشته اصلی توسط MASoft

سلام
یه چند تا نکته !!!
همه افرادی که امنیت نرم افزار رو دست کم گرفتن و اون رو به IIS واگذار کردن٬ سرشون به سنگ خورده

اولین چیز اینه که سیستم نرم افزاری شما اطلاعات را با چه متودی تحت وب میفرسته ؟ GET یا Send ؟
سیستم فرستادن اطلاعات خود نرم افزار ٬ اطلاعات رو رمز گذاری میکنه ؟ از استاندارد های عمومی مثل MD5
استفاده میکنید یا سیستم رمزگذاری رو خودتون نوشتید ؟ سیستم وب CGI هستش یا ISAPI یا Scripting ؟
بعد اگر یه نفر یه Sniffer Logger داشته باشه٬ اطلاعات رو میتونه کاری کنه یا نه ؟ بعد این برنامتون Header
آی پی رو برای اینکه دستکاری شده باشه چک میکنه یا نه ؟ در مقابل حملات DOS چطوره ؟ در مورد ODBC اگر
در یک زمان ۲۰ نفر request بفرستند٬ چی میشه ؟

MASoft جون به قول معروف ، جانا سخن از زبان ما مي گويي.
من پرسيدم بانك رو چيه گفت برو بينيم بي سواد. خودت مي توني ببريش رو سيكو اِل سرور.
ولي عزيزم دل برادر . اين بحث هاي براي خودت خوبه شما مي خواي تو بازار كار كني با اين همه نرم افزار گردن كلفت مثل TACBOX و SIGMA و WEBTAC و جديدا هم چند صد تاي ديگه بايد نرم افزارت كامل . ايمن باشه تا حداقل بتوني چند تا مشتري پيدا كني.
موفق باشي.

**Hakimi** · 2004-06-05, 11:36 PM

نميخواستم اين بحث رو اينجا بيشتر از اين باز کنم. ان شاءالله با تغييرات قريب الوقوعی که در قسمت شبکه انجام خواهد گرفت، فضا برای اين گونه مباحث، خارج از بازارچه و مباحث شبکه محيا خواهد شد.
ولی علی الحساب،

آقا شهاب عزيز،
شما دست روی نقطه ای از شبکه گذاشته ايد که نميتوان روی آن ريسک کرد.
از بين رفتن اطلاعات Database کاربران يعنی از بين رفتن همه چيز.
نميدانم تا چه حد با شبکه آشنا هستيد، نميدانم آيا تا بحال يک ISP را از نزديک ديده ايد يا خير، ولی ميدانم که بسيار سهل و آسان از کنار خيلی از مسائل مهم گذشته ايد و آنها را ناديده گرفته ايد.
ميدانيد که قرار دادن برنامه ای تحت IIS، در وضعيتی که سطح دسترسی Administrator و SA را در اختيار دارد، در صورت ضعف برنامه به منزله قرار دادن کل Database و Accounting Server در معرض دسترس عموم است؟!

خيلی دوست دارم قبل از اينکه به مسائلی نظير گزارشات و . . . بپردازيد (که صد البته در جای خود بسيار هم مهم هستند) به مسائل امنيتی بپردازيد و توضيح دهيد در اين زمينه چه کرده ايد.
در بين تمام نوشته های شما فقط يک جمله در اين زمينه وجود داشت و آن هم در پست آخر که گفته ايد:
"اصلا من چطور تونستم بی سیستم رمزنگاری ان تی تک برسم ایا گذاشتن امکان مخفی سازی رمز به درد میخوره"
همانطور که MASoft هم گفت، در مورد encryption توضيح دهيد. برای يک مدير شبکه، امنيت حرف اول رو ميزنه.
يادتون باشه که خيلی وقت ها بخاطر امنيت، چشممون رو روی خيلی از امکانات ميبنديم و راه سخت تر رو در پيش ميگيريم تا مطمئن باشيم امنيتمون تامين ميشه . . .

اين رو هم بدونيد که ما از اين نوشته ها سوء نيت نداريم. بی معرفت هم نيستيم. سربالا هم حرف نميزنيم! اين نوشته ها به شما هم کمک ميکنه که در راه مناسب تری قدم برداريد.

**Meteor** · 2004-06-06, 09:17 AM

سلام به همه

آقا دستتون درد نکنه حالم جا اومد

اول بگم که با شبکه آشنایی دارم تا اونجا که یه مرکز اینترنت دارم که پنج تا سرور سَت و ایمیل و وب و بک آپ و میٍِن داره و روی امنیت اونها هم تا بخواهین کار کردم مثلا روی وب سرور از فایر وال گرفته تا لوک داون و ارل اسکن و سکیور آی آی اس هم دارم و مدام در حال تحقیق و بررسی مسائل امنیتی هستم و سعی میکنم خودم را به روز نگه دارم . اما از آریاگوهر و ام آ سافت و بقیه هم ممنون و سپاسگذارم .

متود های ارسال اطلاعات برای ورود به سیستم و قسمت هایی خاص از نرم افزار توسط پست و قسمت هایی که توسط لینک باز می شوند توسط گت نوشته شده اند . (البته چه بهتر که سرور وب از اس اس ال استفاده کنه یا اس اس اچ که این به مدیر شبکه و سیستم برمیگرده که آیا اس اس ال داره یا نه )

اینکه گفته بودین سیستم رمز نگاری باید بگم که برای نگهداری رمز کاربران خود ابزار تک پلاس پلاس از ام دی فایو استفاده میشه اما منظور من از مز نگاری قسمت کنسول خود نرم افزار ان تی تک پلاس هست که میتونید رمز کاربر را مخفی کنید (F11->Encrypt password) که اگر دوستان دیده باشن رمز مخفی شده کاربر با @+ شروع میشه و منظور من همین بود که من تونستم سیستم رمز نگاری ان تی تک پلاس را برای رمز کاربران مرکز رمز گشایی کنم و به سیستم رمز نگاری اون دسترسی پیدا کنم. اما در مود هدر آی پی قبلا هم نوشتم که برنامه قابلیت تنظیم را داره تا ای پی را چک کنه و اگر مدیر سیستم به اون آی پی اجازه داده باشه اونو وارد سیستم مدیریت کاربران کنه و اگه منظورتون اسپوف کردن هست که باید فایر وال سیستم جلوی اسپوف شدن را بگیره . در مورد اسنیفر هم باید بگم که اگر مدیر سیستم اس اس ال را فعال کرده باشه اسنیفر کاریش نمیتونه بکنه . حملات داس(Denial of Service) هم که اصلا ربطی به این سیستم نداره و به خود آی آی اس برمیگرده و اینکه نسخه آی آی اس چند باشه و باگ نداشته باشه چون حملات داس به پورت و نرم افزار سرویس دهنده بر میگردن و فقط در مورد آی آی اس هم نیست . در مورد ODBC هم نه هیچ مشکلی نداره اگر من هستم مدیر سیستم به هزار نفر رمزش را بده و هر هزار تاشون با هم از سیستم استفاده کنن . اما وقتی که می تونید مدیر سیستم تعریف کنید فکر نمیکنم که بیست نفر مدیر داشته باشین (فکر کنید که مثلا بیست نفر از همکارانتون رمز مدیر ان تی تک پلاس را داشته باشن هر چی باشه همشون هم که با هم بیان تو کنسول و کاربر تعریف کنن مشکلی پیش نمیاد . ضمنا این سئوال شما در مورد ODBC کمی...)و سیستم وب هم برنامه نویسیASP هست که جزو اسکریپتینگ هستش .

ضمنا قبلا هم گفتم که دیتا بیس از اکسس استفاده میکنه . بعد از اون اینکه ایده های من تازه بودن و خیلی از قسمت هایی که توی برنامه من استفاده شده را دیگر ابزار ها ندارن . چند تا مشتری هم که پیدا شده اگر تک باکس هست که قیمتش 500000 تومان هست و باید حتما اس کیو ال سرور و پی اچ پی را هم نصب کنی . وب تک هم که من هیچ چیزی را روی سایتش ندیدم که نشون بده برنامه اش چیه و چی کار میکنه در مود سیگما هم اگر میشه اطلاعات بیشتری را بدین ممنون میشم . ضمنا قسمت ضد انجکسیون اس کیو ال هم در نرم افزار قرار داره که درصد اطمینان را از اینکه بانک اطلاعاتی لو نره بالا میبره . برای سیستم ورود هم از سشن کوکی ها(Session Cookie) استفاده میشه نه از کلاینت کوکی ها و این امکان را میده تا از زمان انتظار سیستم برای بستن دسترسی نا خواسته دیگر کاربران جلوگیری بشه . ضمنا برنامه این قابلیت را داره تا تنظیم بشه که اگر کاربر تک پلاس پلاس از پای سیستم رفت و دیگه بر نگشت از دو راه به صورت اتوماتیک خارج بشه . یکی همین سیستم کوکی ها که تایم اوت دارن دیگه اینکه خروج از طریق کلاینت و با تنظیم اون به دقیقه که مثلا اگر کاربر و یا همون مدیر سیستم یادش رفت لوگ اوت کنه سیستم در صورت بیکار موندن صفحه بعد از مدت زمان تنظیم شده خودش به صورت خودکار عمل خروج را انجام بده .

اگر سئوالی هست من در خدمتم .

**majestic** · 2004-06-06, 03:25 PM

salam arya goohar joon.
khobi
age mishe ghorboone dastet on like roo ke migi baram bezar.
mer30 man monhazeram .
bye

**MASoft** · 2004-06-06, 06:27 PM

خوب اگر توی اینترنت یه چرخی بزنید میبینید خیلی از برنامه های امنیتی بصورت CGI نوشته میشن٬ اینکه گفتید ((سوالم در مورد ODBC یکم ... )) باید بگم که برای تست ٬یه CGI ساده با C بنویسید که از ODBC یک فایل mdb رو
باز کنه و یه چیزی از توش بخونه. اگر ۳ تا Response براش بفرستید میبینید که ۲ تاش Error میده (این سوال بر
اساس CGI بود). این درمورد DOS هم صدق میکنه ! هر برنامه ای که از حافظه استفاده میکنه میتونه مورد
حمله DOS قرار بگیره. (البته توی زبان های اسکریپتینگ تا ۹۵٪ پیش نمیاد). ولی دوباره یه نکته : فکر نمیکنید
استفاده از CGI (البته برای ODBC بهتره که ISAPI) مناسب تر از ASP باشه ؟ (بالاخره ممکنه شخصی به اطلاعات
دسترسی پیدا کنه٬ باید مشکل سرویس های دیگه شبکه هم در نظر بگیریم) و در مورد IP Header هم
منظورم خود IP نبود٬ منظورم برای تغییرات غیر عادی در هدر بود. (مثلا برنامه هایی که با sniffing میان بسته
ها رو شبیه سازی کنند تا بدون رمز Login کنند)

**Meteor** · 2004-06-06, 07:23 PM

دوست عزیز فکر میکنم یه خورده بین اسنیف و اسپوف را دارین اشتباه میکنین . اسنیف کردن که خوندن پاکت هایی است که توی شبکه رد و بدل میشه و اون هم باید یه هکر خدوش را تبدیل کنه به یه دونه گیت وی و این کار روی خطوط دیال آپ نمیشه یعنی اون فقط اطلاعاتی را که به سیستم خودش وارد میشه میتونه بخونه که عملا به درد نمی خوره . اسپوف کردن هم که عبارت است از عوض کردن آی پی به منظور از کار انداختن یه سیستم بدین ترتیب که درخواست را به صورتی میفرسته که آی پی ارسال کننده وجود نداشته باشه و وقتی سرور می خواهد جواب را بر گردانه دچار مشکل میشه حملات داس هم که به منظور وود بدون اجازه معمولا ترتیب داشده میشن و یا اینکه از گروهی از کامپیوتر های شبکه برای این کار استفاده میکنن به سیستم سرویس دهنده حمله می کنن نه به صفحه لاگین یه وب پیج این سئوال از یه حرفه ای بعید بود . اگر نخواهین بگین که نرم افزارتون در مقابل سین فلود و پینگ اتک چطور برخورد میکنه باید بگم که شما بیشتر به یه فایر وال احتیاج دارین . چون این مجموعه ابزار ها فقط و فقط برای مدیریت و کنترل پروفایل و اطلاعات کاربران است .
و کارش حسابداری نیست . اما حرف هاتون رو در مورد امنیت قبول دارم . چون امنیت سیستم واقعا برای خودم مهمه اگر مهم نباشه اول از همه خودم بدبخت میشم .
راستی توی سایت هم یه انجمن راه اندازی کردم که یه سری بهش بزنین .
HTTP://www.tacpp.com/persian/forum/default.asp
جای خوبی هست تا تجربیاتمون را به صورت تخصصی مطرح کنیم

**Hakimi** · 2004-06-07, 11:10 AM

توضيحات خوب و نسبتا کاملی بود

و اما چند نکته:
در مورد Web Server بر اساس نوشته ها تون حس ميکنم شايد بخاطر تشابه اسمی SSL و SSH دچار اشتباه شديد، چون SSL همونطور که نوشتيد برای حفظ امنيت اطلاعات ارسالی تحت وب مورد استفاده قرار ميگيره ولی SSH هيچ ارتباطی به اين موضوع نداره و Protocol ای است که با استفاده از اون ميشه از راه دور به سيستمهای مبتنی بر Linux متصل شد و Console اون رو در اختيار گرفت.

در مورد Sniff اين توضيح رو بدم که برای Sniff نيازی به حضور بعنوان يک Gateway نيست. کافيه توی يک LAN يک سيستم رو در اختيار داشته باشيد. ميتونيد کليه Packet ها رو Sniff کنيد. (البته با داشتن HUB و نه Switch)
در مورد مشکلات امنيتی ODBC Connection ها شايد نيازی نباشه توضيح داده بشه. کافيه به Google مراجعه کنيد تا با انبوهی از اطلاعات در اين زمينه مواجه بشيد.

در مورد مطلب MASoft ، اين نوع Sniffing مربوط به خواندن و شبيه سازی Cookie ها و Session ID ها است که کاربر Authenticate نشده ميتونه همانند مدير، به کل سيستم دسترسی پيدا کنه.

در مورد DOS و يا DDOS بايد عرض کنم که اتفاقا به اين سيستم مربوط ميشه و اين ارتباط هيچ ربطی به IIS و DOS بر IIS نداره و مربوط به نوع کد نويسی برنامه نويس ميشه. توضيح بيشتر رو ميتونين با يه جستجوی کوچک در Google پيدا کنيد.

اينطور که از نوشته های شما بر مياد، امنيت برای شما هم اهميت داره. ولی صرفا اهميت داشتن کافی نيست. برای رسيدن به امنيت بايد تلاش کرد و راهش رو پيمود و قواعد رو رعايت کرد تا بتوان تا حدی امنيت را بدست آورد که آن هم باز مطلق نيست.

در مورد Encryption نوشتيد که Tacpp از MD5 استفاده ميکنه. ميخواستم بپرسم آيا برنامه شما Password کاربران رو در جای ديگری هم ذخيره ميکنه؟
در مورد Encryption خود NTTacPlus هم در صورت امکان بيشتر توضيح دهيد.

موفق باشيد

**MASoft** · 2004-06-07, 11:24 AM

فکر میکنم بهتره به جای اینکه بخواید اسپوف و اسنیف رو توضیح بدید ٬ جواب سوال رو بدید. (فکر میکنم خودتون
این دوتا رو قاطی کردید). اسنیف کردن در هر جایی ممکنه ٬ حتی توی Dialup که اینجا جاش نیست توضیح بدم
چطوری.) (توی اینترنت یکم بگردید توضیحاتش هست) ٬ بعد فکر میکنم بهتره یه نگاهی به کتاب Security+ (sybex)
بندازید تا متوجه بشید سوال حرفه ای بود٬ خواننده غیر حرفه ای بود. یکی از راه های وارد شدن به سیستم ها
اینه که افراد با یه اسنیفر بسته ها رو ذخیره میکنن ٬ و بعدا با همین بسته ها بدون داشتن یوزر و پسورد میان
و یه Session میگیرن و از سیستم استفاده میکنن. (کتاب Maximum Security )
در ضمن فکر میکنم حداقل اگر چیزی رو میخواید بگید و فکر میکنید اشتباهی در اونه٬ یه طوری بگید که توهین آمیز
نباشه ! اگر چیزی اینجا مطرح میشه٬ برای زیر سوال بردن برنامه نیست٬ برای اینه که اگر چیزی توی برنامتون
در نظر گرفته نشده٬ به اون هم بپردازید. چون فکر میکنم الان برنامه های خارجی گردن کلفتی که برای این کار
هست که یک سری اونها هم مجانی هستش ٬ انتخاب بهتری باشه.
من ترجیح میدم دیگه به این بحث ادامه ندم.

**aryagohar** · 2004-06-07, 01:02 PM

آقا هر كي از اين برنامه ها مي خواد من دارم. مجاني هم مي دم.
ولي قبلش . من خواهش مي كنم وساطت منو پيش احسان بكنيد كه من برنامه رو روي هاستم Upload بكنم و شما از اونجا برش داريد.
من ترافيك هاستم كمه به همين خاطر ميگم.
يك خواهش . آقا جون مادرتون يه ISA و يه Suse Linux به من برسونيد.
شوخي كردم
دوستان خوب و فعال قسمت شبكه ايميل بدن من يه دونه از اين برنامه ها كه همه كار ميكنه كاربر مي سازه كارت مي سازه توپه خلاصه كه البته قفل هم داشته قبلا ولي الان قفلش مرده

(توسط يكي از دوستان) و همچنين سورش هم بازه كه خودتون هر جور حال كنين تغييرش بدين براتون مي فرستم.
يه چيز ديگه. اين رو فقط براي دوستان فعال مي فرستم.

موفق باشيد.

**Hakimi** · 2004-06-07, 01:42 PM

اين بحث از معرفی يک نرم افزار به يک بحث پيچيده در مورد مسائل امنيتی در نرم افزارهای تحت شبکه تبديل شد که فکر کنم فعلا جايی بهتر از قسمت شبکه براش وجود نداره.

اميدوارم عفت کلام و جو دوستانه رو از دست نديم

**Meteor** · 2004-06-08, 07:54 AM

برگشتم و چند تا از مطالبی را که دوستان عنوان کرده بودند خوندم .

در مورد مطلب MASoft ، اين نوع Sniffing مربوط به خواندن و شبيه سازی Cookie ها و Session ID ها است که کاربر Authenticate نشده ميتونه همانند مدير، به کل سيستم دسترسی پيدا کنه.

باید بگم که سیستم نرم افزار از SESSION COOKIEها استفاده میکنه نه از کلاینت کوکی ها . اگر دقت کرده باشین شما وقتی که به سیستم پرشین تولز وارد میشین و لاگین میکنین زمانی که بدون خروج پنجره را ببندین و مثلا 10 ساعت بعد بیایین و یه راست برین توی سایت میبینید که هنوز داخل سیستم هستین و خارج نشدن . این به خاطر این هست که برنامه از کلاینت کوکی استفاده میکنه . اما ابزار های تک پلاس پلاس اینطور نیستند با داشتن زمان تام اوت و هم به صورت خروج در صورت بیکاری امنیت را بالا میبرن تا جایی که اگر شما پنجره اکسپلورر را ببندین سشن هاتون از روی سرور پاک میشه و شما خواه نا خواه عمل خروج از سیستم را انجام دادین .

اما باید بگم که ان شاء الله تا چند وقت دیگه نسخه شماره دو با تغییرات اساسی و با الهام گرفتن از صحبت های دوستان به زودی آماده میشه . نسخه جدید دارای چند امکان جدید هست و تغییر اساسی در شکل و طرح صفحات داده شده و از نظر رابط گافیکی همونطور که دوستمون گفتن غنی شده . تا یکی دو روز آینده به طور کامل کارهای گرافیکی ابزار تموم میشه . در نسخخه جدید کدها بازخوانی شدن و تا اونجایی که میشه عیب و نقص های سیستم گرفته شده . امکان فشرده سازی و تعمیر سیستم بانک اطلاعاتی هم در نظر گرفته شده که میتونه خلی به مدیر شبکه کمک کنه .

چون خودم دارم از یه ان تی تک دیگه واسه پشتیبان گیری استفاده میکنم و هر از گاهی حجم دیتابیس به یک گیگ میرسه و بعد از اینکه تعمیر و فشرده اش میکنم حجمش میشه سه چهار مگ .

**Hakimi** · 2004-06-08, 08:43 AM

منظور من از اون نوشته، Client Cookie ها نبود، بلکه دقيقا منظورم Session Cookie ها است.
اگر با نحوه کار Session آشنايی داشته باشيد ميدونيد که هر Session در پس پرده، يک Client Cookie در Browser ذخيره ميکنه که درونش Session ID قرار داره.
توصيه اخلاقی اينکه يه کم در مورد اين مسئله و تمام مسائلی که در بالا ذکر شده جستجو کنيد . . .

در مورد Encryption سوال پرسيدم که هنوز پاسخ نداديد، ان شاء الله فرصت کنيد و پاسخ دهيد

**Meteor** · 2004-06-08, 10:30 AM

اگر دقت کرده باشین و بعد از اینکه رمزی را توی ان تی تک مخفی کردین Encrypt کردین و بعد از اون توی دیتا بیس رفته باشین میبینید که رمز شما به یهی چیزی شبیه به D3C2B4B2C4@+ تبدیل شده . من به نحوه مخفی سازی این رمز ها دسترسی پیدا کرده ام و شاید از نظر امنیتی درست نباشه که بخواهم روش رمز گشایی اونو توی انجمن بذارم. اما رمز نگار ان تی تک از یه الگوریتم تقریبا ساده استفاده میکنه . رمز گشایی و شکستن این الگوریتم یه دو هفته ای کار برد .

خوب اینطور بگم که ان تی تک برای هر کاراکتر یه مجموعه 16 تایی داره که نسبت به مکان قرار گیری حرف تغییر میکنه بعد از کد شدن رمز شما به تعداد دو برابر به علاوه دو کاراکتر رمز کد شده خواهید داشت که دو کاراکتر اول که همون @+ باشه نشون دهنده اینه که سیستم رمز کد شده است . شما میتونید خیلی راحت این موضوع را امتحان کنید فقط کافیه یه شناسه درست کنید و رمز اونو با این دو حرف شروع کنید بدون اینکه بخواهید از Encryption استفاده کنید . حالا اگر دوباره اطلاعات کاربر را بخونید میبینید که رمز را به صورت کد شده در نظر گرفته و به همین خاطر علامت Encrypt را هم چک مارک زده . واسه کد کردن رمز میاد و تک تک حروف را می خونه و مکان اونو حفظ میکنه . در واقع 16 ستون از دیتا هست که سیستم از روی اونها کد ها را بر میداره . فکر کنید که رمز شما این باشه ali سیستم حرف a را که در مکان یک قرار گرفته بر میداره و از توی جدول اطلاعاتیش نگاه میکنه ببینه حرف a توی کدوم ردیف قرار داره بعد از ستونی که حرف a درش قرار گرفته کد را برمیداره . به همین ترتیب در مورد حرف دوم در ستون دوم جدول رمز به دنبال حرف می گرده و کد را جایگذاری میکنه .

a 12 13 14 15 16 17 18 19 20

l 25 26 23 24 28 29 54 26

i 56 52 53 58 54 59 57 41

در اینجا چون حرف a در جای اول قرار گرفته ما هم توی ستون اول دنبالش میگردیم پس کد 12 را بر میگردانه حالا حرف دوم که l باشه میشه ستون دوم و کد 26 برگست داده میشه و حرف سوم که کد 53 را بر میگردونه و به همین ترتیب الا آخر .

موضوع: بحث و تبادل نظر در مورد نرم افزار TACPP

پیوند

ابزارهای موضوع

نمایش

كمي بيشتر توجه كنيد و پيشنهاد بدين

حالم جا اومد

اسنیف کجا اسپوف کجا دنیال سرویس کجا

امنيت در ورود

نحوه كد شدن رمز در نرم افزار ان تي تك پلاس

کلمات کلیدی در جستجوها:

گرفتن log مصرف كاربران در nttac

انجکسیون

اسنيفر اس كيو ال

security sybex

odbc سیستم dsn گرفتن log گزارش

درباره اسنیف و اسپوف ها

برچسب برای این موضوع

مجوز های ارسال و ویرایش