none
SQL Server bir izin hakkında yardım. RRS feed

  • Soru

  • Merhabalar,

    Remote sql server ile haberleşen bir vb.net uygulaması geliştiriyorum.

    SQL Serverda sadece db_datareader izni aktif ve kullanıcı uygulamamda sadece SELECT komutunu işletebiliyor, buraya kadar sorun yok, sorun şurada.

    Yaptığım bazı testlerde exe'mi decompile ederek içindeki kaynak kodlara, dolayısı ile de sql bağlantı cümlelerine erişebiliyorum, ben erişebiliyorsam kötü niyetli kullanıcı da erişip uzak sql serverime bağlanabilir, drop veya update yapamasa da sql server managament studio tarzı bir program ile bütün bilgilerimi okuyabilir, bunun önüne nasıl geçebilirim?

    Sql serverda sadece vb.net üzerinde SELECT komutunu işletip DB'ye login olmasını engelleyen ya da tablonun açılmasını engelleyen bir permission şekli var mıdır? Bu konudaki yardımlarınız benim için çok önemli, vereceğiniz değerli bilgiler için teşekkür eder saygılarımı sunarım. 

    6 Şubat 2014 Perşembe 23:13

Yanıtlar

  • Ne şekilde saklarsan sakla, nasıl karıştırırsan karıştır, sonuçta onu programında okuduğuna göre connectionstring'in okunabiliyor demektir. Bu tip işler için iletişimi webservis filan kullanarak hallet. Birkaç deneme dışında çok tecrübe etmedim ama mantık özetle şu, sen servisin metotlarına parametre gönderirsin o da sana sonuç döndürür. Linkteki açıklamalar fikir verebilir.

    http://www.buraksenyurt.com/post/Basit-Bir-Web-Service-Uygulamasc4b1-bsenyurt-com-dan.aspx

    • Yanıt Olarak İşaretleyen Forbid55 8 Şubat 2014 Cumartesi 00:54
    7 Şubat 2014 Cuma 16:50
  • Aslına bakarsanız kırılması amaçlandıktan sonra Web Service'de güvenli değil. Bu devirde, hiçbir metot, hiçbir yol %100 güvenli değildir. Bize düşen elimizden geleni yapmak. 

    Microsoft bu servisi kullanıcılarına yardım etme, Microsoft urunleri ve teknolojileriyle ilgili bilgi bankasını genişletme amacıyla ucretsiz sunmaktadır. Bu icerik olduğu gibi benim tarafımdan hazırlanmış olup Microsoft tarafından herhangi bir sorumluluk ustlenildiği anlamına gelmez. Iletişim: Mail Gönder

    • Yanıt Olarak İşaretleyen Forbid55 8 Şubat 2014 Cumartesi 11:59
    8 Şubat 2014 Cumartesi 06:34
    Moderatör

Tüm Yanıtlar

  • Merhaba ,

    Obfuscation uygulama kaynak kodlarına erişimi engellemek , gizlemek için yapılan bir işlem. 

    Linkte .net için programların listesi mevcut.

    Visual Studio 2012 için de linki inceleyebilirsiniz.

    iyi çalışmalar.


    Ozgur Guven - MCT , MCSE : Server Infrastructure

    7 Şubat 2014 Cuma 04:33
  • Özgür bey teşekkür ederim ama lanet bir program var adını buradan vermek istemiyorum, Obfuscation da dahil exeleri tamamen 2 aşamada açabiliyor, ayrıca ehil bir kişi birisi bellekte dolanan stringler ve TCP izleme yolu ile de connection stringlere erişebileceğinden bana detaylı SQL server izinlerini anlatan bir döküman lazım.

    Tekrar teşekkürler.

     
    7 Şubat 2014 Cuma 11:27
  • Size Confuser'i önerebilirim. String'leri çözmeleri imkansıza yakın gibi bir şey.

    Microsoft bu servisi kullanıcılarına yardım etme, Microsoft urunleri ve teknolojileriyle ilgili bilgi bankasını genişletme amacıyla ucretsiz sunmaktadır. Bu icerik olduğu gibi benim tarafımdan hazırlanmış olup Microsoft tarafından herhangi bir sorumluluk ustlenildiği anlamına gelmez. Iletişim: Mail Gönder

    7 Şubat 2014 Cuma 11:33
    Moderatör
  • Amacın string veri tipini engellemekse SecureString'i önerebilirim.
    7 Şubat 2014 Cuma 15:44
  • Ne şekilde saklarsan sakla, nasıl karıştırırsan karıştır, sonuçta onu programında okuduğuna göre connectionstring'in okunabiliyor demektir. Bu tip işler için iletişimi webservis filan kullanarak hallet. Birkaç deneme dışında çok tecrübe etmedim ama mantık özetle şu, sen servisin metotlarına parametre gönderirsin o da sana sonuç döndürür. Linkteki açıklamalar fikir verebilir.

    http://www.buraksenyurt.com/post/Basit-Bir-Web-Service-Uygulamasc4b1-bsenyurt-com-dan.aspx

    • Yanıt Olarak İşaretleyen Forbid55 8 Şubat 2014 Cumartesi 00:54
    7 Şubat 2014 Cuma 16:50
  • Evet anlaşıldı bir SOAP'a ek atmamıştık, onu da kurcalamanın zamanı geldi.

    Bana yardımcı olan tüm arkadaşlara teşekkürlerimi iletiyorum ve naçizane de olsa bir hatırlatmada bulunmak istiyorum, Aslan'ın da dediği gibi hangi programı kullanırsak kullanalım, üzülerek söylüyorum ki ters mühendislik uygulanabiliyor. Güvenlik zafiyeti vermemek için aklımızda bulundurmakta yarar var. Saygılarımla.

    8 Şubat 2014 Cumartesi 00:58
  • Aslına bakarsanız kırılması amaçlandıktan sonra Web Service'de güvenli değil. Bu devirde, hiçbir metot, hiçbir yol %100 güvenli değildir. Bize düşen elimizden geleni yapmak. 

    Microsoft bu servisi kullanıcılarına yardım etme, Microsoft urunleri ve teknolojileriyle ilgili bilgi bankasını genişletme amacıyla ucretsiz sunmaktadır. Bu icerik olduğu gibi benim tarafımdan hazırlanmış olup Microsoft tarafından herhangi bir sorumluluk ustlenildiği anlamına gelmez. Iletişim: Mail Gönder

    • Yanıt Olarak İşaretleyen Forbid55 8 Şubat 2014 Cumartesi 11:59
    8 Şubat 2014 Cumartesi 06:34
    Moderatör
  • Haklısınız.
    8 Şubat 2014 Cumartesi 11:59