Einzelnen Beitrag anzeigen

Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.144 Beiträge
 
Delphi 10.3 Rio
 
#57

AW: Wer kann mal eben meinen Installer testen...

  Alt 8. Feb 2017, 10:30
@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).
Ok Mit dem Datum schau ich mir an...

Du konntest von einem anderen Kunden die Daten einsehen... OK Das währe schlecht.. Sicher, das Du das nicht mit dem Editor - für den Kunden - der seine Daten ändern kann verwechselt hast?


Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.
Logisch, aber "eigentlich" sollte der Installer keine Units verwenden, die für mein Admin Tool verwendet werden.

Trotzdem Danke für den Hinweis. Da muss ich nochmal die IFDEF's durchschauen.

Danke für Euer Feedback.
  Mit Zitat antworten Zitat