Partage
  • Partager sur Facebook
  • Partager sur Twitter

Question sur le hacking

Sujet résolu
    15 janvier 2021 à 22:02:04

    Bonjour,

    Je vais peut-être poser une question bête mais ça me trotte dans la tête.

    Je suis actuellement entrain de développer mon application avec C# et j'utilise MySql dans mon projet. J'aimerai savoir s'il est possible d'une quelconque manière que ce soit de récupérer les identifiants de ma base de données depuis mon .exe ? Je sais qu'il est possible de faire du reverse engineering et de ce fait récupérer les fonctions par exemple de mon application et sa structure, il existe de nombreux décompiler (gratuit ou payant) permettant de facilement récupérer ces informations. Aussi, avez-vous un lien ou un livre à lire concernant la sécurité des applications .NET ?

    Par ailleurs, j'utilise un obfuscator afin de rendre la tâche plus difficile.

    Merci de vos réponses.

    PS: Je ne parle pas ici de faille, comme l'injection SQL.

    -
    Edité par S@yf 15 janvier 2021 à 22:04:26

    • Partager sur Facebook
    • Partager sur Twitter

    Un cerveau c'est bien, plusieurs c'est mieux !

      16 janvier 2021 à 9:50:13

      Pouvez-vous être plus précis ?

      Généralement, on utilise des solutions de sécurité "clé en main" qui se chargent de protéger les informations sensibles à notre place (généralement dans l'OS). Mais aucune sécurité n'est absolu, c'est fonction du type de menace.

      • Partager sur Facebook
      • Partager sur Twitter
      Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.
        16 janvier 2021 à 19:50:42

        bacelar a écrit:

        Pouvez-vous être plus précis ?

        Généralement, on utilise des solutions de sécurité "clé en main" qui se chargent de protéger les informations sensibles à notre place (généralement dans l'OS). Mais aucune sécurité n'est absolu, c'est fonction du type de menace.


        Bonjour, merci de votre réponse. Je ne vois pas vraiment comment être plus précis. J'ai dans mon application un code qui permet de se connecter simplement à ma base de données. Dans ce code se trouve les identifiants pour s'y connecter et je demande simplement s'il est possible de récupérer ces identifiants qui se trouve dans une variable string en cherchant à lire le .exe.

        // Conenction information
        private const String SERVER = "xxxxxx";
        private const String DATABASE = "xxxxxx";
        private const String UID = "xxxxxx";
        private const String PASSWORD = "xxxxxx";
        public static MySqlConnection db;



        • Partager sur Facebook
        • Partager sur Twitter

        Un cerveau c'est bien, plusieurs c'est mieux !

          17 janvier 2021 à 2:02:49

          Ce que tu demandes c'est s'il existe un désassembleur qui peut récupérer tes mots de passe ou autre information critique?
          Comme bacelar l'a dit, tout est possible.
          Mais si ton code est moindrement gros, il se peut que des suites de caractères ressemblent à un mot de passe.
          Pour ce qui est d'analyser du code assembleur qu'on ne connait pas, ça peut devenir extrêmement complexe.
          Personne ne se donnera cette peine sauf s'il y a un profit important en jeu.
          Si tu as vraiment peur, tu peux générer tes mots de passe en les assemblant (mauvais choix de mots ...) dans ton code.
          • Partager sur Facebook
          • Partager sur Twitter

          Le Tout est souvent plus grand que la somme de ses parties.

            17 janvier 2021 à 2:26:45

            PierrotLeFou a écrit:

            Ce que tu demandes c'est s'il existe un désassembleur qui peut récupérer tes mots de passe ou autre information critique?
            Comme bacelar l'a dit, tout est possible.
            Mais si ton code est moindrement gros, il se peut que des suites de caractères ressemblent à un mot de passe.
            Pour ce qui est d'analyser du code assembleur qu'on ne connait pas, ça peut devenir extrêmement complexe.
            Personne ne se donnera cette peine sauf s'il y a un profit important en jeu.
            Si tu as vraiment peur, tu peux générer tes mots de passe en les assemblant (mauvais choix de mots ...) dans ton code.


            Très bien, cela répond à ma question. Merci à tous les deux :)!
            • Partager sur Facebook
            • Partager sur Twitter

            Un cerveau c'est bien, plusieurs c'est mieux !

              18 janvier 2021 à 10:20:47

              Un exécutable n'est pas un coffre-fort et l'offuscation n'est qu'un retardant.

              Et si c'est juste pour protéger votre connexion, comment garantir que vous n'allez pas fournir ces informations à un simple "man in the middle" ?

              Si vous blindez votre exécutable mais pas les tuyaux, c'est peine perdue.

              Il existe pas mal de mécanisme de sécurité dans .NET qui utilisent la sécurité de l'OS, comme l'"Integrated Security Connection" fourni via le provider.

              Mais tout cela ne rime à rien sans un modèle de menace.

              • Partager sur Facebook
              • Partager sur Twitter
              Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.
                21 janvier 2021 à 10:38:55

                Bonjour @bacelar,

                merci pour votre réponse complémentaire. ;)

                • Partager sur Facebook
                • Partager sur Twitter

                Un cerveau c'est bien, plusieurs c'est mieux !

                Question sur le hacking

                × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
                • Editeur
                • Markdown