Office中国论坛/Access中国论坛

标题: 帮人家增加了点安全防护，无聊人可以下载下来测试一下。 [打印本页]

作者: hi-wzj 时间: 2008-8-22 16:29
标题: 帮人家增加了点安全防护，无聊人可以下载下来测试一下。
一网友要我帮他，将他的程序增加点安全防护。我稍做了一下，因为他们的要求也不是太高，因此我也没怎么做检测，义务做的嘛。发上来大家看看，是否有漏洞，也希望大家通过测试和破解这个例子会有所收获。

1、将压缩包解压的某个目录，运行“统计.mdb”即可。注：第一次使用须用“wzj”登录，因程序所在目录发生变化会无法进入，但退出后再进就可以了，因为他们的程序都放固定的目录，因此他们也不太管这块，我也没去看这个问题。
2、这个例子是有两个用户，一个用户是普通使用者“yct”没有密码，是个销售人员，可以操作出库单，生成发票，输入回款，查看奖金，不能更改其他操作员输入的数据。（还有其他操作人员我在这个例子中我都删掉了）。另一个是数据管理员“wzj”，口令是“www”他可以查看所有操作者的数据，并对数据进行审核管理。
3、需要测试的是安全权限：a、非法用户无法使用，无法获取数据记录、无法获取源代码。b、数据管理员，无法获取源代码。c 、普通用户无法操作权限外的任务。
4、看大家是否能够猜测到我增加安全防护的方法。
5、对积极参与测试的人会适当给予奖励。

测试结束。

作者: hi-wzj 时间: 2008-8-22 16:42
另外，进入应用程序后，在各窗体中点击工具栏上面的问号按钮，会有该窗体的功能介绍。便于大家了解窗体的功能和使用。

作者: lkkl66 时间: 2008-8-22 16:51
沙发？板凳？－－－嗅一嗅

作者: ganrong 时间: 2008-8-22 18:38
提示: 作者被禁止或删除内容自动屏蔽

作者: ganrong 时间: 2008-8-22 18:41
提示: 作者被禁止或删除内容自动屏蔽

作者: ycxchen 时间: 2008-8-22 23:38
向版主学习一下如何提高ACCESS安全

作者: 5988143 时间: 2008-8-23 08:01

原帖由 ganrong 于 2008-8-22 18:41 发表
按alt+f11可看到代码.

[:50]

作者: hi-wzj 时间: 2008-8-23 22:57
看到的应该只是统计.mdb中的“启动”窗体的代码，因为不是核心代码所以我就没封

作者: 静儿 时间: 2008-8-25 15:16
老大，我不知道你是怎么加密的。但我用您的大名和登录密码按shift登录，好噢，里面提示了不是用独占的方式打开无法保存更新，但设计和代码都能看得了的哦，哇，好多的代码。这就是你想送给我们的奖励？

作者: 静儿 时间: 2008-8-25 15:25
呵呵，我不懂代码，谁来看看：
Function 权限(类型 As String) As Boolean
Dim Rs As New ADODB.Recordset
Dim Sql As String
Dim StrPath As String
StrPath = CurrentProject.Path & "\data.dll"
Rs.ActiveConnection = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + Trim(StrPath) + ";"
Sql = "SELECT DISTINCT MSysAccounts_1.Name FROM (MSysAccounts INNER JOIN MSysGroups ON MSysAccounts.SID = MSysGroups.GroupSID) INNER JOIN MSysAccounts AS MSysAccounts_1 ON MSysGroups.UserSID = MSysAccounts_1.SID WHERE (((MSysAccounts_1.Name)=CurrentUser()) AND ((MSysAccounts.Name)='" & 类型 & "'));"
Set Rs = Rs.ActiveConnection.Execute(Sql)

If Rs.EOF Then
权限 = False
Else
权限 = True
End If
Set Rs = Nothing
End Function

登录权限似乎保存在data.dll里。

作者: 静儿 时间: 2008-8-25 15:26
老大好像也有失手的时候哦。

作者: liaug 时间: 2008-8-25 16:47
支持一下

作者: hi-wzj 时间: 2008-8-25 16:47
呵呵，确实失误了。原来的wzj是最高的管理员，上传例子时将他的权限降级，疏漏了某部分的权限限制。

看来凡事都要认真呀。

[ 本帖最后由 hi-wzj 于 2008-8-25 16:50 编辑 ]

作者: hi-wzj 时间: 2008-8-26 13:03
正式发布时编译成mde即可解决上述问题。

作者: hi-wzj 时间: 2008-8-26 13:14
本贴参与人都将得到我送出的论坛道具，谢谢大家的测试。

作者: glw 时间: 2008-9-7 20:37
学习一下

作者: yori2007 时间: 2008-9-8 08:23
[:30] 什么东西都没有啊，只有20b

作者: 静儿 时间: 2008-9-8 09:09
[:42] 谢谢版主送出的[:19] 置顶卡。
其实我还是没看懂您是怎么加密的

，如果您能将您的思路和大家分享，我想这对我们有很大的帮助。

作者: hi-wzj 时间: 2008-9-16 09:43
嗯，我就大概说一说吧。
构成：
统计.mdb－壳；data.mdb－程序文件；data.dll更改了扩展名的acc文件，是后端及安全工作组的混合体。

统计.mdb：里面主要就一行代码。
Shell SysCmd(acSysCmdAccessDir) & "MSACCESS.EXE " & CurrentProject.path & "\data.MDB /user " & Me.用户 & "/pwd " & Me.密码 & "/wrkgrp " & CurrentProject.path & "\data.dll/cmd xh", vbMaximizedFocus 此命令可看命令行启动acc的帮助。
data.mdb：由于需要启用自己的安全工作组才能打开，直接打开是没有权限的。当代码被编译后，一般的人很难猜到工作组文件隐藏在data.dll中的。
data.dll：后端及安全工作组的混合体。其实安全工作组文件也是一个acc数据库文件。因此用acc打开安全工作组文件后导入后端文件即可。

作者: hi-wzj 时间: 2008-9-16 09:48
这个例子的安全核心还是在安全工作组上，通过拆分安全工作组，使得用户接触不到系统管理员的密码。具体见我的专栏。我贴这例子时也在这里出现了失误。权限并没有完全分割出来。原先是在管理员组及用户上都设置了最大的权限，上传例子时只去除了管理员组上的权限，用户上的权限没有去除。

作者: hi-wzj 时间: 2008-9-16 09:55
静儿所贴的代码表示的意思是，到data.dll数据库中查找安全工作组的表，看该用户是否归属于某个组。
在这个例子里，系统会根据用户是否归属该组而决定是否允许使用某功能或根据其所属组显示某界面。

很多网友都习惯建立自己的用户及权限表来控制权限。其实安全工作组也是一个数据库文件，也可以调用和查询的。

作者: hi-wzj 时间: 2008-9-16 10:02
其他的就只是一些障眼法罢了。让人家短时间无法判断文件真实的用途。比如：如果您用acc打开data.dll会显示不可识别的数据库的提示等。

作者: themagic007 时间: 2008-9-16 20:27
嘿嘿，这个好，LZ能不能帮我的也做下安全设置阿，我的要求好高的[:33]

作者: themagic007 时间: 2008-9-16 20:29
？下了个空的包，咋回事?

作者: hi-wzj 时间: 2008-9-25 23:27

原帖由 themagic007 于 2008-9-16 20:27 发表
嘿嘿，这个好，LZ能不能帮我的也做下安全设置阿，我的要求好高的[:33]

不妨说说？

作者: hi-wzj 时间: 2008-9-25 23:28

原帖由 themagic007 于 2008-9-16 20:29 发表
？下了个空的包，咋回事?

测试已结束。因此没把文件放上去。

作者: kiky511 时间: 2008-10-4 17:15
不错，学习一下

作者: coolleaf 时间: 2008-11-24 19:10
好呢，看看。

作者: coolleaf 时间: 2008-11-24 19:14
[:30] 听得是一头雾水。下过还是下了看看。怎么这么小？20K？？

作者: coolleaf 时间: 2008-11-24 19:16
[:34] 怎么就结了。我不是没的下了那。

作者: changweiren 时间: 2008-11-24 20:40
回复,必须的.

作者: changweiren 时间: 2008-11-24 20:44
nothing

作者: wys6326 时间: 2008-11-25 20:56
怎么进行安全保护啊，想了解了解

作者: ljchenyixi 时间: 2009-1-3 10:31
学习[:23]

作者: zjdbee 时间: 2009-2-26 16:47
学习下~看看什么好东东

作者: zjdbee 时间: 2009-2-26 16:49
夷~`压缩包有密码?

作者: zjdbee 时间: 2009-2-26 17:09
晕,空的......

作者: sanwood 时间: 2009-3-1 01:24
看一看

作者: HeavenBlue 时间: 2009-3-2 15:18
看看

作者: HeavenBlue 时间: 2009-3-2 15:19
谢谢

作者: neocom 时间: 2009-3-12 21:29
看看先

作者: lxx_smt 时间: 2009-3-18 10:00
是什么好东西啊

作者: yori2007 时间: 2009-3-19 09:04

作者: 阿六爱狗 时间: 2009-3-27 09:54
领教领教

作者: cadgeeman 时间: 2009-3-31 14:25
学习一下

作者: hunrybecky 时间: 2009-4-14 23:54
看看

作者: neil_11 时间: 2009-4-16 17:44
sdfsdfsfsfsfsdfsdfsd

作者: yuayua23 时间: 2009-4-18 23:21
谢谢

作者: hbz168 时间: 2009-4-22 08:15

作者: yycyy8 时间: 2009-5-2 13:24
学习一下,楼主,有何奖励啊

作者: ddsunsung 时间: 2009-5-25 14:01
學習一下........................

作者: hario 时间: 2009-5-29 17:22
我也来看看。。。。。。。。。。。。。

作者: hario 时间: 2009-5-29 17:30
什么也没有啊，版主视乎是个大骗子？？？

作者: dddd042821 时间: 2009-5-30 22:35
学习中...

作者: luhao 时间: 2009-5-30 22:47
学习

作者: luhao 时间: 2009-5-30 22:48

新建 WinRAR 档案文件.rar (20 Bytes)
空空是也

作者: dhutextile 时间: 2009-6-12 15:27
kan kan

作者: dhutextile 时间: 2009-6-12 15:28
可以的

作者: rhzxzjws 时间: 2009-6-13 12:20
学习学习

作者: zhaofangyuan 时间: 2009-7-1 16:16
下载学习!

作者: ycjjacky_GW 时间: 2009-7-2 09:08
看看

作者: zl_spam 时间: 2009-7-12 17:05

作者: danielcai 时间: 2009-7-13 18:55
thanks

作者: liu575qing 时间: 2009-7-20 17:52
向版主学习一下如何提高ACCESS安全

作者: liu575qing 时间: 2009-7-20 18:02
mei you 东西啊

作者: kevinwu 时间: 2009-8-28 00:47
学习学习,是不是创建登录模块

作者: 鱼儿游游 时间: 2009-9-17 15:16

作者: cfncmjh 时间: 2009-9-19 08:32
好好好

作者: cxw6630 时间: 2009-9-19 15:47
进来看看

作者: itsmove 时间: 2009-9-24 14:24
很有借鉴的作用

作者: stoneliang 时间: 2009-10-6 22:41
试下

作者: hug110 时间: 2009-10-9 10:54
学习一下

作者: 我的作品 时间: 2009-11-1 23:11
ddddddddd

作者: yaoguiq1979 时间: 2009-11-5 16:52
1# hi-wzj

作者: sccg 时间: 2009-11-6 21:38
试试看,,,
顶

作者: sagemeyou 时间: 2009-11-6 23:57
kankan

作者: eyoue 时间: 2009-11-9 14:17
试试看！

作者: sxdz 时间: 2009-11-27 09:38
我有来搞搞看

作者: qqmusic0o0 时间: 2009-11-27 20:11
学习、

作者: liaoqiang234 时间: 2010-2-6 13:00
学习

作者: JSSUNYUNFENG 时间: 2010-3-9 22:50
学习

作者: 82077802 时间: 2010-4-23 06:55
向版主学习一下如何提高ACCESS安全

作者: LeeTien 时间: 2010-4-23 08:34
看看呵呵

作者: LeeTien 时间: 2010-4-23 08:36
下载的是两个加密的文本文件
怎么回事

作者: xuwenning 时间: 2010-4-23 08:39
kankan
学习学习

作者: zhufree 时间: 2010-4-23 14:35
学习

作者: 156677252 时间: 2010-4-23 22:45
学习一下,楼主,有何奖励啊

作者: yykxiaoyang 时间: 2010-4-27 16:30
我想看看

作者: vister 时间: 2010-5-31 22:23
have a look 1# hi-wzj

作者: huangjingfeng88 时间: 2010-10-19 18:40
谢谢

作者: dahai1001 时间: 2010-11-26 14:28
xuexi xuexi

作者: xfol138716 时间: 2011-3-29 21:40
ipnu gh

作者: ytfgymq 时间: 2011-3-30 11:07

作者: 星空中的泪水 时间: 2011-3-30 12:23
有点难度啊要注意的东西很多

作者: nature876 时间: 2011-3-30 12:47

作者: neronwang 时间: 2011-3-30 17:26

作者: 文棣 时间: 2011-4-27 18:51
学习下

作者: hezhiyee 时间: 2011-5-7 20:50
下来学习---

作者: c101 时间: 2011-5-7 21:36
学习一下

作者: 自己开发 时间: 2011-5-14 08:58
学习一下下

欢迎光临 Office中国论坛/Access中国论坛 (http://www.office-cn.net/)