דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. תכנות
  3. אבטחת מידע

אבטחת מידע

מתוזמן נעוץ נעול הועבר תכנות
28 פוסטים 11 כותבים 821 צפיות 11 עוקבים
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
תגובה
  • תגובה כנושא
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • חגיח מנותק
    חגיח מנותק
    חגי
    כתב ב נערך לאחרונה על ידי
    #5

    SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
    הנה דוגמה

    מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

    avramkA צבי-שצ M 3 תגובות תגובה אחרונה
    3
    • חגיח חגי

      SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
      הנה דוגמה

      מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

      avramkA מנותק
      avramkA מנותק
      avramk
      כתב ב נערך לאחרונה על ידי avramk
      #6

      @חגי rdp לא יותר פריץ?

      חגיח 2 תגובות תגובה אחרונה
      0
      • חגיח חגי

        SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
        הנה דוגמה

        מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

        צבי-שצ מחובר
        צבי-שצ מחובר
        צבי-ש
        כתב ב נערך לאחרונה על ידי
        #7

        @חגי אמר באבטחת מידע:

        הנה דוגמה

        מה רואים שם?

        {
          "code": "download_cap_exceeded",
          "message": "Cannot download file, download bandwidth or transaction (Class B) cap exceeded. See the Caps & Alerts page to increase your cap.",
          "status": 403
        }
        

        כיף לגלות דברים חדשים.
        חוק ה-50-50-90: בכל פעם שיש סיכוי של 50-50 שמשהו יעבוד, יש סיכוי של 90 אחוז שהוא לא. מקור

        A0533057932A תגובה 1 תגובה אחרונה
        0
        • צבי-שצ צבי-ש

          @חגי אמר באבטחת מידע:

          הנה דוגמה

          מה רואים שם?

          {
            "code": "download_cap_exceeded",
            "message": "Cannot download file, download bandwidth or transaction (Class B) cap exceeded. See the Caps & Alerts page to increase your cap.",
            "status": 403
          }
          
          A0533057932A מנותק
          A0533057932A מנותק
          A0533057932
          כתב ב נערך לאחרונה על ידי
          #8

          @צבי-ש Desktop.7z

          תגובה 1 תגובה אחרונה
          0
          • חגיח חגי

            SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
            הנה דוגמה

            מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

            M מנותק
            M מנותק
            mekev
            כתב ב נערך לאחרונה על ידי
            #9

            @חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )

            אחדד
            שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"ל

            נקודת השאלה היא
            בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
            ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאות

            איך הויזואל סטודיו שולח את המידע
            האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
            בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים

            A רפאלר 2 תגובות תגובה אחרונה
            0
            • M mekev

              @חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )

              אחדד
              שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"ל

              נקודת השאלה היא
              בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
              ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאות

              איך הויזואל סטודיו שולח את המידע
              האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
              בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים

              A מנותק
              A מנותק
              aaron
              כתב ב נערך לאחרונה על ידי
              #10

              @mekev אמר באבטחת מידע:

              בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה

              באבטחת מידע אתה משתדל להגיע מנקודת מבט כמה שיותר פסימית..

              aaron.tchumim@gmail.com
              Hetzner - שרתים וירטואליים ופיזיים במחירים מעולים (קישור שותפים)

              ווצאפ API - תיעוד שירות API לא רשמי.

              תגובה 1 תגובה אחרונה
              3
              • M mekev

                @חגי באמת כיף להכיר את הכלי 'Wireshark' בעקבות התשובות המפורטות (תודה מיוחדת ל: @dovid @aaron )

                אחדד
                שניתן לפרוץ בצורות כאלו ואחרות לSQL - ידוע ואכמ"ל

                נקודת השאלה היא
                בהנחה שההגנה הקיימת בשרת וSQL תקינה ומעולה בפני עצמה
                ובהנחה שכתבתי את השאילתה עם שימוש ב'פרמטרים' וטיפול בשגיאות

                איך הויזואל סטודיו שולח את המידע
                האם הוא מצפין אותם ברמה כלשהיא (מקביל ל https) או שלא...
                בשביל שאני לא ייתן 'דלת אחורית' לשליפת הנתונים

                רפאלר מנותק
                רפאלר מנותק
                רפאל
                כתב ב נערך לאחרונה על ידי רפאל
                #11

                @mekev אמר באבטחת מידע:

                איך הויזואל סטודיו שולח את המידע

                ויזואל סטודיו אינו מתקשר עם מסד הנתונים, התוכנה שלך היא שעושה זאת.
                בחירה בחיבור מאובטח TLS מתאפשרת בעת יצירתו ע"י הגדרת הפרמטר Encrypt לTrue בConnection String.

                var builder = new SqlConnectionStringBuilder
                {
                	DataSource = "ServerName",
                	InitialCatalog = "DatabaseName",
                	UserID = "UserName",
                	Password = "UserPassword",
                	Encrypt = true
                };
                
                var connection = new SqlConnection(builder.ConnectionString);
                

                כמובן שעליך לטפל ברמת המסד ביצירת תעודת אבטחה שתוכר ע"י הלקוח (ע"י יצירת תעודה חתומה ע"י CA כדוגמת Let’s Encrypt או ע"י יצוא התעודה והתקנה אצל הלקוח, לחלופין ניתן לבטל את האימות ע"י הוספת TrustServerCertificate=True לConnection String [לא מומלץ])
                כמו כן יש לאפשר במסד כניסת חיבורים מאובטחים.

                M תגובה 1 תגובה אחרונה
                5
                • avramkA avramk

                  @חגי rdp לא יותר פריץ?

                  חגיח מנותק
                  חגיח מנותק
                  חגי
                  כתב ב נערך לאחרונה על ידי
                  #12
                  פוסט זה נמחק!
                  תגובה 1 תגובה אחרונה
                  0
                  • avramkA avramk

                    @חגי rdp לא יותר פריץ?

                    חגיח מנותק
                    חגיח מנותק
                    חגי
                    כתב ב נערך לאחרונה על ידי
                    #13

                    @avramk אמר באבטחת מידע:

                    @חגי rdp לא יותר פריץ?

                    אתה מכיר דרך לפרוץ RDP?

                    avramkA תגובה 1 תגובה אחרונה
                    0
                    • רפאלר רפאל

                      @mekev אמר באבטחת מידע:

                      איך הויזואל סטודיו שולח את המידע

                      ויזואל סטודיו אינו מתקשר עם מסד הנתונים, התוכנה שלך היא שעושה זאת.
                      בחירה בחיבור מאובטח TLS מתאפשרת בעת יצירתו ע"י הגדרת הפרמטר Encrypt לTrue בConnection String.

                      var builder = new SqlConnectionStringBuilder
                      {
                      	DataSource = "ServerName",
                      	InitialCatalog = "DatabaseName",
                      	UserID = "UserName",
                      	Password = "UserPassword",
                      	Encrypt = true
                      };
                      
                      var connection = new SqlConnection(builder.ConnectionString);
                      

                      כמובן שעליך לטפל ברמת המסד ביצירת תעודת אבטחה שתוכר ע"י הלקוח (ע"י יצירת תעודה חתומה ע"י CA כדוגמת Let’s Encrypt או ע"י יצוא התעודה והתקנה אצל הלקוח, לחלופין ניתן לבטל את האימות ע"י הוספת TrustServerCertificate=True לConnection String [לא מומלץ])
                      כמו כן יש לאפשר במסד כניסת חיבורים מאובטחים.

                      M מנותק
                      M מנותק
                      mekev
                      כתב ב נערך לאחרונה על ידי
                      #14

                      @רפאל
                      במידה ואכתוב כך
                      התוצאה תהיה זהה?

                      SqlConnection con = new SqlConnection(@"Data Source=185.2.2.25\dbt;Initial Catalog=dbn;User ID=dbus;Password=pass;Encrypt = true")
                      
                      תגובה 1 תגובה אחרונה
                      1
                      • חגיח חגי

                        @avramk אמר באבטחת מידע:

                        @חגי rdp לא יותר פריץ?

                        אתה מכיר דרך לפרוץ RDP?

                        avramkA מנותק
                        avramkA מנותק
                        avramk
                        כתב ב נערך לאחרונה על ידי
                        #15

                        @חגי אמר באבטחת מידע:

                        @avramk אמר באבטחת מידע:

                        @חגי rdp לא יותר פריץ?

                        אתה מכיר דרך לפרוץ RDP?

                        זה מהשיטות אימות הגרועות ביותר

                        חגיח תגובה 1 תגובה אחרונה
                        -1
                        • avramkA avramk

                          @חגי אמר באבטחת מידע:

                          @avramk אמר באבטחת מידע:

                          @חגי rdp לא יותר פריץ?

                          אתה מכיר דרך לפרוץ RDP?

                          זה מהשיטות אימות הגרועות ביותר

                          חגיח מנותק
                          חגיח מנותק
                          חגי
                          כתב ב נערך לאחרונה על ידי חגי
                          #16

                          @avramk
                          יש לך פרצה ואתה לא רוצה לפרסם?
                          אחרת אני לא מבין מה הנקודה שהאימות שלו גרוע, זה משתמש וסיסמה

                          avramkA תגובה 1 תגובה אחרונה
                          1
                          • חגיח חגי

                            @avramk
                            יש לך פרצה ואתה לא רוצה לפרסם?
                            אחרת אני לא מבין מה הנקודה שהאימות שלו גרוע, זה משתמש וסיסמה

                            avramkA מנותק
                            avramkA מנותק
                            avramk
                            כתב ב נערך לאחרונה על ידי
                            #17

                            @חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)

                            חגיח nigunN 2 תגובות תגובה אחרונה
                            -1
                            • avramkA avramk

                              @חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)

                              חגיח מנותק
                              חגיח מנותק
                              חגי
                              כתב ב נערך לאחרונה על ידי
                              #18

                              @avramk
                              אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
                              SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
                              RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין.

                              אף אחד 3א תגובה 1 תגובה אחרונה
                              3
                              • avramkA avramk

                                @חגי אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם , לא מובנה בווינדוס שום מנגנון להפלת נסיונות פריצה או הגבלת בקשות וזה מה שגורם להאקרים לשלוח מלא בקשות כניסה עם שמות משתמש וסיסמא לשרת עד שהם מקבלים כניסה. (אם אתה מאד מעוניין אני יעלה לך לוגים של כמות נסיונות הפריצה שיש לי לשרת שהrdp שלו פתוח)

                                nigunN מנותק
                                nigunN מנותק
                                nigun
                                כתב ב נערך לאחרונה על ידי nigun
                                #19

                                @avramk אמר באבטחת מידע:

                                אין לי שום פרצה אבל תברר כמה אחוזים של כופר הגיעו מrdp פתוח לעולם

                                יש גם מתקפות דרך חשבונות VPN
                                לכאורה בהרבה מהמקרים זה פשוט מדליפה של הסיסמה
                                העובדים לא תמיד יודעים להגן על הסיסמה בצורה טובה,
                                ויש וירוסים שמתמקדים באיתור סיסמאות.

                                מייל: nigun@duck.com

                                תגובה 1 תגובה אחרונה
                                1
                                • חגיח חגי

                                  @avramk
                                  אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
                                  SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
                                  RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין.

                                  אף אחד 3א מנותק
                                  אף אחד 3א מנותק
                                  אף אחד 3
                                  כתב ב נערך לאחרונה על ידי
                                  #20

                                  @חגי פרצתי כמה פעמים ל rdp פתוח עם מדריכים ביוטיוב למרות שאין לי כמעט היכירות עם העולם הזה

                                  dovidD תגובה 1 תגובה אחרונה
                                  -1
                                  • yossizY מנותק
                                    yossizY מנותק
                                    yossiz
                                    כתב ב נערך לאחרונה על ידי
                                    #21

                                    הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.

                                    📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                                    dovidD avramkA אף אחד 3א 3 תגובות תגובה אחרונה
                                    6
                                    • אף אחד 3א אף אחד 3

                                      @חגי פרצתי כמה פעמים ל rdp פתוח עם מדריכים ביוטיוב למרות שאין לי כמעט היכירות עם העולם הזה

                                      dovidD מנותק
                                      dovidD מנותק
                                      dovid
                                      ניהול
                                      כתב ב נערך לאחרונה על ידי
                                      #22

                                      @אף-אחד-3 אם אין לך היכרות ואין לך מידע מה החולשה/ות של RDP, אין ערך לנתון שאתה מביא. יכול להיות שבית פרוץ פרצת, או כל מיני אפשרויות אחרות.

                                      • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
                                      • בכל נושא אפשר ליצור קשר dovid@tchumim.com
                                      תגובה 1 תגובה אחרונה
                                      2
                                      • yossizY yossiz

                                        הקו המנחה צריך להיות שמייקרוסופט הם לא טפשים. יש בקורת ויש טעויות וכו' אבל זו טעות בד"כ להאשים אותם בדברים שבר בי רב דחד יומא יודע.

                                        dovidD מנותק
                                        dovidD מנותק
                                        dovid
                                        ניהול
                                        כתב ב נערך לאחרונה על ידי
                                        #23

                                        @yossiz אני אכן לא מצאתי המלצה של מקרוסופט שלא להשתמש בSQL SERVER פתוח לעולם אז התפלאתי על דברי @חגי. יכול להיות שכמו כמעט תמיד זו בעיה של על מי לזרוק את האחריות על ההגדרות, אני רואה שהם טרחו להשקיע בעניין
                                        https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-ver15

                                        • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
                                        • בכל נושא אפשר ליצור קשר dovid@tchumim.com
                                        חגיח תגובה 1 תגובה אחרונה
                                        4
                                        • dovidD dovid

                                          @yossiz אני אכן לא מצאתי המלצה של מקרוסופט שלא להשתמש בSQL SERVER פתוח לעולם אז התפלאתי על דברי @חגי. יכול להיות שכמו כמעט תמיד זו בעיה של על מי לזרוק את האחריות על ההגדרות, אני רואה שהם טרחו להשקיע בעניין
                                          https://docs.microsoft.com/en-us/sql/relational-databases/security/sql-vulnerability-assessment?view=sql-server-ver15

                                          חגיח מנותק
                                          חגיח מנותק
                                          חגי
                                          כתב ב נערך לאחרונה על ידי חגי
                                          #24

                                          @dovid
                                          למנוע את הMITM זה מאוד פשוט, אבל זה לא מוגן בברירת מחדל, ומי שלא חושב על זה חושף את עצמו לMITM.

                                          גם לא כתבתי על SQL SERVER פתוח לעולם, דיברתי על MITM, צריך בשביל זה גישה למתאם רשת של השרת SQL SERVER, בכה"ג זה מאוד פריץ.

                                          avramkA תגובה 1 תגובה אחרונה
                                          0
                                          תגובה
                                          • תגובה כנושא
                                          התחברו כדי לפרסם תגובה
                                          • מהישן לחדש
                                          • מהחדש לישן
                                          • הכי הרבה הצבעות


                                          • 1
                                          • 2
                                          בא תתחבר לדף היומי!
                                          • התחברות

                                          • אין לך חשבון עדיין? הרשמה

                                          • התחברו או הירשמו כדי לחפש.
                                          • פוסט ראשון
                                            פוסט אחרון
                                          0
                                          • דף הבית
                                          • קטגוריות
                                          • פוסטים אחרונים
                                          • משתמשים
                                          • חיפוש
                                          • חוקי הפורום