Шесть способов залезть в 1С
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Шесть способов залезть в 1С - 2008-05-15 22:10:16.283333
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "Шесть способов залезть в 1С"
|
|
|
Mike; e-mail: Mike_Balachenkov@mail.ru - 2008-05-15 22:10:16.363333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Вообще MD5 - Message Digest и шифровать он ничего не может (Hash функция)
|
|
|
Pupkin-Zade; e-mail: xa@real.xakep.ru - 2008-05-15 22:10:16.380000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Согласен, хэширование. Сути то не меняет :))
|
|
|
Mike; e-mail: Mike_Balachenkov@mail.ru - 2008-05-15 22:10:16.393333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Если суть в том, чтобы посмотреть на данные то это совсем просто (для DBF). Просто Создаем DS в настройках ODBC? драйвер Microsoft visual foxpro, указываем на каталлог 1С c данными и смотрим чем угодно. хоть Excel
|
|
|
Biopsy; e-mail: - 2008-05-15 22:10:16.393333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Nu MD5 ne MD5, John The Ripper budet lomat´ ih do pateri pulsa. Esli ti budesh jit´ let 100 to togda mojet che nibud´ ividish :)
|
|
|
CyberShadow; e-mail: cybershadow@mail.ru - 2008-05-15 22:10:16.410000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Проблема в том, что данные в DBF не совсем полные :( Связи и всякие переменные описываюЦЦа в 1Cv7.DD
|
|
|
CyberShadow; e-mail: cybershadow@mail.ru - 2008-05-15 22:10:16.423333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
А насчет взлома брутфорсом - это, действительно, долго :( Но ведь есть куча других способов. В конце концов, можно ведь и просто взломать EXE файлы, сам я это не делал, но где-то в инете видел статейку, дескать в 1С этим паролем нифига не шифруеЦЦа, а он служит только для авторизации, обрубаешь проверку и все!
|
|
|
Zep; e-mail: - 2008-05-15 22:10:16.440000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Народ! Не надо изобретать велосипед для 1С. Все, что можно было сломать в 1С давно сломано, починено и обратно сломано! Вопроса доступа к БД 1С (что DBF что SQL) нет в помине - все открыто - кушай хоть попой. Для доступа/изменения структуры метаданных, в случае защиты конфигурации паролем существует множество утилит и патчей. А по поводу вирусов для 1С - это просто смешно! Смысл писать деструктивные вирусы на языке 1С, если можно грохнуть данные напрямую?
|
|
|
CyberShadow; e-mail: cybershadow@mail.ru - 2008-05-15 22:10:16.456666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Статья ж ознакомителная, это ты в курсе, а кто-то нет. А насчет вирусов - я и не говорил о грохании данных. Попробуй внедриться в код 1С и аккуратно подправляй данные в свою пользу. Или через 1С получай доступ к файлам пользователя и качай куды хотишь. Гораздо проще, чем писать червя для кражи файлов…
|
|
|
topasha; e-mail: topanov@mail.ru - 2008-05-15 22:10:16.456666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Базы данных 1С-Предприятия по сути ни как не защищены в плане доступа к данным, но это в большинстве случаев и не надо, так как любое изменение в базе ведет к изменению баланса предприятия, что достаточно легко обнаруживается. Такой принцип работы финансовых программ. Плюс к этому, если администратор системы грамотный, то в случаях искажения данных, допустим задним числом, он это легко выявит имея резервные копии баз за несколько дней подряд путем обычного сравнения. Плюс ко всему в бухгалтерии и в структурных подразделениях предприятия обязательно должны иметься бумажные копии документов, которые злоумышленник тоже должен как-то подменить. Так что у финансовых программ есть защита, правда не техническая, но ее в большинстве случаев вполне достаточно.
|
|
|
topasha; e-mail: topanov@mail.ru - 2008-05-15 22:10:16.470000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Добавлю, по 1С есть неплохие ресурсы в интернете, например, форум на http://www.kuban.ru/cgi-bin/forum/forum9.cgi
|
|
|
i; e-mail: - 2008-05-15 22:10:16.470000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
в каталаге базы есть файлик с расширением usr. Удали его - и все… путь к базе открыт.
можно замочить папки юзверей - эффект тот - же. а то что написано - действительно извращение…
|
|
|
SAT; e-mail: - 2008-05-15 22:10:16.503333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Пишется внешняя обработка цепляется к ней rainbow и под любым, даже самым лоховским юзером, можно прочитать и\или изменить данные.
|
|
|
RE: Шесть способов залезть в 1С - 2008-05-15 22:10:16.520000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Жаль что позлно наткнулся… :( Сейчас все на 8.0 переходят\перешли…
|
|
|
RE: - 2008-08-11 09:02:37.346666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хаха а по HTML коду куда легче =) за 6 минут взломал
|
|
|
RE: Шесть способов залезть в 1С - 2008-09-05 08:46:41.946666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Guest Отправлено: 11.08.2008 9:02:37 RE: Хаха а по HTML коду куда легче =) за 6 минут взломал
Это как ? Поделись успехом. Интересует конечно epf, erf с паролями … Вот где не могу продвинуться в плане редактирования таких внешних обработок …
|
|
|
RE: Шесть способов залезть в 1С - 2008-12-12 12:58:51.723333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
что за "HEX редактором"
|
|
|
RE: Шесть способов залезть в 1С - 2009-03-01 22:57:23.290000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
gff
|
|
|
RE: Zep; e-mail: - 2009-03-02 00:40:38.036666
|
|
|
Bios Nielsеn
Сообщений: 6266
Оценки: 321
Присоединился: 2007-10-22 19:45:18.176666
|
quote:
ORIGINAL: Guest Народ! Не надо изобретать велосипед для 1С. Все, что можно было сломать в 1С давно сломано, починено и обратно сломано! Вопроса доступа к БД 1С (что DBF что SQL) нет в помине - все открыто - кушай хоть попой. Для доступа/изменения структуры метаданных, в случае защиты конфигурации паролем существует множество утилит и патчей. А по поводу вирусов для 1С - это просто смешно! Смысл писать деструктивные вирусы на языке 1С, если можно грохнуть данные напрямую? согласен на все сто. Конфигурация - БД. Ниразу не видел конфигурации с привязкой. Можно выкачать что угодно и не зная языка 1С. Если учить его ломает:) Про вход уже всё сказанно. Если защищать - машину с БД. То только сторонними средствами: Фаер + DMZ. Сам продукт незащищён:(
|
|
|
RE: Шесть способов залезть в 1С - 2009-09-22 15:18:33.406666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
"Так что у финансовых программ есть защита, правда не техническая, но ее в большинстве случаев вполне достаточно." то что ты говоришь верно лишь в вопросе целостности информации. а если рассмотреть вопрос промышленного шпионажа - то совсем другая история получается
|
|
|
RE: Шесть способов залезть в 1С - 2011-08-23 16:37:28.753333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
по сути можно на комп поставить патч к 1с и она будет вообще напрочь игнорировать пароли (как к конфе так и пользователей) таким образом получаем по сути бронебойный например ноут… пароли то анализируются на клиенте)) следовательно патчинг клиента даст результат и по сути нам останется только зайти в конфигуратор и создать нам пользователя с нужными привилегиями и паролем… либо войти под одним из имеющихся… патч кажись называется патч саурона
|
|
|
|
|