Mysql Sorgu

[alyamus]

Arkadaşlar ve sayın hocalar unidac ile hazırladığım veritabanı programıma dışarıdan mysql sorgu atarak şifrelerimi kırıyolar mysql sorgusunun önüne nasıl geçebilirim. yada daha çok nasıl güvenli hale getirebilirim veritabanı nı.

[Battosai]

Veritabanı local de mi ? Nasıl erişim sağlıyorlar da sorgu gönderiyorlar.

[alyamus]

Hocam host şirketinin birinden sunucu aldım ve veritabanımı oraya kurdum sunucunun ipsini kullanıcı adı şifresini herşeyi unidac'a giriyorum bir şahıs exe ye ne yapıyorsa analamdım bir takım programlarla kırıyor ve veritabanı şifremi server adresini kullanıcı adını veritabanı adını hepsini görmüş oluyor. buna nasıl bir yöntem bulabilirim .

[esistem]

Selam;
Exeye herhangi bir yöntemle müdehale etmiyor, sadece herhangi bi text editörden açıp password'u okuyor.
Bunun önüne şu şekilde geçebilirsiniz.

Önce sunucunuza bir php veya asp dosya yazın, bu dosyaya belirli parametreler gönderip size kullanıcı adı ve şifrelerinizi göndermesini sağlayın (tabii gelen değerleride şifrelemeniz gerekecektir.) ordan dönen değerleri çözüp daha sonra kullanıcı adı ve şifre olarak programınızda kullanın ki exe dosya içinde hiçbir zaman password ve kullanıcı adınızı string olarak kullanmamış olun. Tabi bunun için server tarafında da bir başka db de (mysql olabilir) kullanıcı adı ve şifreleri tutun.

sanırım anlayabilirsiniz, biraz karmaşık yazdım gibime geldi.

[Battosai]

Eğer güvenli uygulama yapmak istiyorsanız bağlantı bilgileri kayıt edilmemeli. Bağlantı yapılacağı zaman bilgiler istenmeli.
-Bunun yanında network veya internet üzerinden bağlantı sağlıyorsanız SSH kullanmalısınız.
-Dışardan bağlanan kullanıcıya sadece yapabileceği işlemler için kullanıcı izinleri verilmeli(mysql tarafından)

Özellikle SSH önemlidir. Bağlantınız güvenli bir kanaldan gerçekleşmiyor ise ağı dinleyen biri tüm bilgileri görebilir.

[mkysoft]

Program kullanıcılarınız gerçek mysql kullanıcısı yapmalısınız.

[alyamus]

Eğer güvenli uygulama yapmak istiyorsanız bağlantı bilgileri kayıt edilmemeli. Bağlantı yapılacağı zaman bilgiler istenmeli.
-Bunun yanında network veya internet üzerinden bağlantı sağlıyorsanız SSH kullanmalısınız.
-Dışardan bağlanan kullanıcıya sadece yapabileceği işlemler için kullanıcı izinleri verilmeli(mysql tarafından)

Özellikle SSH önemlidir. Bağlantınız güvenli bir kanaldan gerçekleşmiyor ise ağı dinleyen biri tüm bilgileri görebilir.

ilgilenen herkese cok teşekkürederim Botassi hocam evet ağ'ı dinleyip bu işi o şekilde çözdüğünü söledi :S

[esistem]

Ağı dinleyebilmek için aynı ip ye sahip olmanız gerekli (yerel ağda olmalı yani) diye biliyorum ama yanlışmı biliyorum acaba?
Uzak ağdan (internete bağlı başka bir makinadan) sizin ağınızı dinlemek için mutlak suretle trojan kullanması gerekli değilmi ?

[alyamus]

Trojen gibi bir şey yok piyasadaki sağlam bir kaç program ile ağ dinlene biliyor en iyisini indirdim kurdum ve gerçekden de veritabanının olduğu ağı dinleyebildim şifremi de gösteriyor. fakat olayı şu şekilde çözdüm unidac ile iletişime geçtim veritabanı üzerinden SSH'ı aktif etmemi sölediler ve unidac SSH ile birlikde 32 karakter uzunluğunda sallama şifre gösteriyor gerçekle alakası yok böylelikle şifreye erişemiyor.

[esistem]

Merhaba;
Tekrar yazıyorum, şu an sizin bilgisayarınızda kurulu bir program ile benim ip mi takibe alıp nasıl benim ağ trafiğimi dinleyebilirsiniz çok merak ettim gerçekten.

Böyle birşeyin benim makinama tojen vs. bulaştırmadıktan sonra imkansız olduğunu biliyorum.

Bununla birlikte eğer veritabanı yolu ve şifreleriniz exe dosya içinde hala sabit olarak varsa SSH, SSL veya istediğiniz her türlü güvenlik uygulamasınıda kullansanız, exe yi ele geçiren birisi hem veritabanınızın yolunu hem şifrelerinizi hemde role lerinizi gayet basit bir şekilde tekrar tekrar ele geçirecektir.

Yukarıda yazdığımı onaylamak için exe dosyasını herhangi bir text editörde açıp, içinde *.fdb (yada veritabanı uzantınız her neyse) aratıp görün.

Exe dosyasını sıkıştırmak vs.vs. gibi işlemlerin hepsininde çözümü olduğu için kesinlikle ve kesinlikle uzak ağa bağlanan bir programda kullanıcı adı ve şifrelerinizi açık bir şekilde exe içinde yazmayın.

[alyamus]

şiz yanlış anladınız sanırsam bakın şimdi benim programım host şirketinden aldıgım ve içine forum kurduğum bir veritabanına giriş yaptırıyor örneğin siz benim sitemde üyesiniz ve programı indirdiniz kullanıcı adı ve şifrenizi girdiniz haberleri okuyorsunuz. yani haber sistemi düşünün.yararlı bir program yani. sonra wireshark ve buna benzer snifferlar ile siz benim programı dinleme kalkıp veri alış verişini görmeye çalışıyorsunuz .yani ben size bişi yapmıyorum. sonra içerisinde 400 $ lık unidac componenti var sizce bu derece pahalı bir componenti böyle ufak yöntemlerle kırmak sizce doğrumudur değil unidac buna şöyle bir sistem geliştirmiş hostun ssh ını açtık dan sonra unidac veritabanın şifresi örneğin 123456 ise snifferlar şifreyi şöyle görüyor 1ab3487cd596fc50a11acc8f75f669cf şifreyi encrpte edip gösteriyor ve bu sallama bir şifre ikincisi bu herseferinde değişiyor her dinlemede değişik yazılar çıkıyor ve bunun önüne snifferlar geçemiyor.

ikincisi benim veritabanım bir uzantı şeklinde değil sadece kullanıcı adı ve şifre ile hosta bağlanıyor onu görmesi mümkün değil exe dosyasınıda açtığımda bozuk karakterler ile gözüküyor bütün editörlerle denedim yok yani okunmuyor bozuk dosya yani bir nevi hallettim

[greenegitim]

zamanında sniferlar ile internet cafede kimler kiminle ne konuşuyor bile görünüyordu bir bilgisayara geçip sniferı kurup ağdaki bilgisayarlardan seçip msn açık ise ne konuştuğunu gösteriyordu aynı mantık mydac ta böyle bir şey varmı peki?