Skocz do zawartości

Rekomendowane odpowiedzi

Krótki wstęp

Backdoor (dosłownie z angielskiego tylne drzwi) jest to celowo i z namysłem utworzona lub niezabezpieczona luka w systemie informatycznym, programie, aplikacji lub tym podobnych rzeczy, na przykład w pluginie sourcemod. Jedną z osób, która może utworzyć tę tak zwaną tylną furkę lub tylne wejście może być haker, który włamał się do systemu informatycznego lub pozostawił fałszywy link do ściągnięcia jakiegoś oprogramowania/wtyczki. Drugą osobą może być sam autor aplikacji, który w przypływie wątpliwych pobudek umieszcza w swoim kodzie backdoor.

 

Legalność

Tylne drzwiczki mogą zapewnić dostęp osobie, która o nich wie w teorii do całości oprogramowania w którym zawarty jest backdoor a nawet nieautoryzowany dostęp do innych warstw środowiska, w którym znajduje się wadliwy program. Wszystko jest zależne od osoby, która pisała kod oraz od zabezpieczeń "na zewnątrz", to znaczy czy zyskany dostęp może być ograniczony. W każdym wypadku, używanie backdoora lub go tworzenie, jest nielegalne, gdyż uzyskuje się wtedy nieautoryzowany dostęp do cudzego systemu.

 

Przykład

Jako iż jesteśmy na forum związanym z sourcemod'em, przykładem będzie niebezpieczny plugin, napisany przez bezimiennego autora. Pan Bezimienny, wprowadził w kod swojej wtyczki takie oto linie:

public void OnClientAuthorized(int client, const char[] auth)
	if (StrEqual(auth, TUTAJ_AUTH_PANA_B)
		AddUserFlags(client, 14);

Powyższy kod dla gracza który posiada konkretny SteamID nadawane są przywileje admina na serwerze. Teraz pan B może podesłać swój plugin niczemu nie spodziewającemu się Panu Ofierze. Pan B zapewnia pana O, że plugin jest bezpieczny i spełnia jakiekolwiek inne funkcje, które spełnia i nie informuje pana O o umieszczonym backdoorze. Pan O z chęcią przyjmuje plugin i wgrywa go na swój serwer. Teraz pan B może swobodnie wejść do gry i używać admina na tym serwerze. Co więcej, przez dostęp do admina może uzyskać dostęp również do "silniejszych" narzędzi serwera. Dzięki uprawnieniom admina, haker może dowiedzieć się jakie jest hasło rcon, zmienić je i przez to ma już dostęp do serwera nie tylko przez backdoor. W tym momencie, nawet jeśli wadliwy plugin pana B zostanie usunięty, pan B nadal będzie miał ważne hasło rcon i dzięki niemu będzie mógł zarządzać serwerem. Teraz powiedzmy, co jeśli hasła do baz danych zapisywane są w cvarach? Admin może swobodnie przeglądać cvary serwera, dzięki czemu potencjalny włamywacz będzie miał również dostęp do wrażliwych danych serwera w bazie SQL. Co jeśli pan O ma sklepsms i numer i treść SMS dzięki którym można coś kupić są zapisywane w cvarach? Haker może te cvary zmienić i dzięki temu oszukać klientów serwera.

 

Ochrona

1. Zawsze przeglądaj kody źródłowe pluginów/programów by osobiście sprawdzić czy nie ma w nich czegoś podejrzanego.

2. Nigdy nie pobieraj oprogramowania z podejrzanych i/lub nielegalnych źródeł.

3. Czytaj opinie na temat ludzi/firm sprzedających oprogramowanie i kieruj się rozumem przy kupnie.

4. Zawsze aktualizuj swoje oprogramowanie do najnowszej wersji.

5. Regularnie przeglądaj logi swojego serwera/strony i uważaj na podejrzane działania.

 

 

Bibliografia

https://pl.wikipedia.org/wiki/Backdoor
Hej! Skorzystałeś z linku lub pobrałeś załącznik? Uhonoruj naszą pracę poprzez rejestrację na forum i rośnij razem z nami!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
  • Lubię to! 1

To może taki challange dla ciebie ***W CELACH EDUKACYJNYCH COMMUNITY***, wyślę ci paczkę pluginow znajdź co odpowiada za backdoora, jakie są jego funkcje i jak się przed nim uchronić? ? 

Edytowane przez dev

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
3 minuty temu, masnuwa_ni napisał:

To może taki challange dla ciebie ***W CELACH EDUKACYJNYCH COMMUNITY***, wyślę ci paczkę pluginow znajdź co odpowiada za backdoora, jakie są jego funkcje i jak się przed nim uchronić? ? 

Można spróbować ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak się zapytam

"AddUserFlags(client, 14);"

Odpowiada za danie wszystkich flag ? czy flagi są jakoś jeszcze numerowane ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
6 minut temu, Sqower napisał:

Tak się zapytam

"AddUserFlags(client, 14);"

Odpowiada za danie wszystkich flag ? czy flagi są jakoś jeszcze numerowane ?

Oto wycinek z naszej dokumentacji
Hej! Skorzystałeś z linku lub pobrałeś załącznik? Uhonoruj naszą pracę poprzez rejestrację na forum i rośnij razem z nami!:

/**
 * Flagi dostêpu dla admina.
 */
enum AdminFlag
{
	Admin_Reservation = 0,	/**< Rezerwacja slota */
	Admin_Generic,			/**< Prawa standardowego admina */
	Admin_Kick,				/**< Daj graczowi kicka */
	Admin_Ban,				/**< Zbanuj gracza */
	Admin_Unban,			/**< Odbanuj gracza */
	Admin_Slay,				/**< Zgladz/zabij/zadaj obrazenia innemu graczowi */
	Admin_Changemap,		/**< Zmien mape */
	Admin_Convars,			/**< Zmiana podstawowych convarow */
	Admin_Config,			/**< Zmiana konfiguracji */
	Admin_Chat,				/**< Specjalne przywileje przy pisaniu na czacie */
	Admin_Vote,				/**< Specjalne przywileje przy glosowaniu */
	Admin_Password,			/**< Ustawianie hasla serwera */
	Admin_RCON,				/**< Uzywanie RCON */
	Admin_Cheats,			/**< Zmiana komendy sv_cheats i uzywanie jej komend */
	Admin_Root,				/**< Domyslnie dostep do wszystkiego */
	Admin_Custom1,			/**< Pierwsza flaga specjalna */
	Admin_Custom2,			/**< Druga flaga specjalna */
	Admin_Custom3,			/**< Trzecia flaga specjalna */
	Admin_Custom4,			/**< Czwarta flaga specjalna */
	Admin_Custom5,			/**< Piata flaga specjalna */
	Admin_Custom6,			/**< Szosta flaga specjalna */
	/* --- */
};

 

Admin_Root ma w tym enumie numer 14

Przez Vasto_Lorde,

UWAGA! Chciałbym zaznaczyć, żeby pod żadnym pozorem NIE UŻYWAĆ W KODZIE ZWYKŁYCH LICZB ZAMIAST ENUMÓW! Zapomnisz co oznacza dana liczba prędzej niż myślisz! Po to są między innymi tworzone enumy by nie musieć zapamiętywać numerów i wiedzieć instynktownie o co chodzi poprzez odczytanie nazwy a nie numerku!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić obrazków. Dodaj lub załącz obrazki z adresu URL.


×
×
  • Dodaj nową pozycję...