Безопасность форм

@ziqp · Регистрация: 03.09.2015

Студворк — интернет-сервис помощи студентам

Всем привет. Недавно я сделал свой handle explorer (программа, которая получает HWND окон и работает с ними).
Спустя несколько тестов на своих проектох, я нашел дыру в безопасности c++ builder (по крайней мере в 2010 версии).
Пример программы для исследования: сделал авторизацию на первой форме, затем при успешном прохождении этой самой авторизации, появляется вторая форма с полным функционалом.
В чем заключается суть "дыры": Если просто запустить программу, появляется форма авторизации которую нужно пройти. Но мы на нее не отвлекаемся. Через мой handle explorer ищу это окно, ищу окна рядом с ним. В списке появляется и вторая форма, которая должна появиться после прохождения этой самой авторизации. Посылаем команду "показать окно" второй форме, и как ни странно, оно открывается. Правда на ней нет ничего, что могло было бы пригодиться, т. к. окно считается скрытым и элементы на нем не прогрузились. Отсылаем команду "инициализации" второй форме, вуаля! Вторая форма полностью работоспособная и никакой авторизации проходить не нужно.

Если собирать программу на том же QT, второй формы в handle explorer не показывается. Т. е. это уязвимость только версий builder. Может быть есть настройка, где можно "закрыть" эту дыру?

@Почтальон · 15.03.2017, 14:04

А может это не дыра, а такая фича программы?
По тому, что вы описали, логика программы простая. Запускается программа (создаются абсолютно все формы, но только они скрыты, кроме первой). Как только проходим авторизацию - показывается (а не создается) второе окно. Вот и все

Я все же склонен считать, что это такое поведение программы, а не Билдера. ИМХО

@ziqp · 15.03.2017, 14:12 **[ТС]**

Так я не создаю другие формы. В том то и дело, что они прогружаются по умолчанию

@nick42 · 15.03.2017, 14:16

Почтальон, согласен с этим. По всему - логика ТС и Borland'а не совпали на данном отрезке.

@Почтальон · 15.03.2017, 14:16

Сообщение от ziqp

Так я не создаю другие формы. В том то и дело, что они прогружаются по умолчанию

Значит в настройках проекта стоит у вас автоматическое создание форм.
Вот тема по этому поводу:
Создание форм авторизации и заставки (Splash-формы) в приложениях

@volvo · 15.03.2017, 14:33

Сообщение от ziqp

В списке появляется и вторая форма, которая должна появиться после прохождения этой самой авторизации

А я тысячу раз говорил: форма авторизации должна отработать ДО ТОГО, как главная форма вообще создается. И специально для этого написал тему, как делать форму авторизации и показывать ее, и только потом, после того, как авторизация пройдена успешна, создавать главную форму и запускать приложение.

Так что тут не

Сообщение от nick42

логика ТС

, а отсутствие логики.

@ziqp · 15.03.2017, 17:24 **[ТС]**

Понял. Спасибо за разъяснение

Новые блоги и статьи Все статьи Все блоги /
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ
Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .	Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832

	Безопасность форм 15.03.2017, 13:56. Показов 1117. Ответов 6 Метки нет (Все метки) Всем привет. Недавно я сделал свой handle explorer (программа, которая получает HWND окон и работает с ними). Спустя несколько тестов на своих проектох, я нашел дыру в безопасности c++ builder (по крайней мере в 2010 версии). Пример программы для исследования: сделал авторизацию на первой форме, затем при успешном прохождении этой самой авторизации, появляется вторая форма с полным функционалом. В чем заключается суть "дыры": Если просто запустить программу, появляется форма авторизации которую нужно пройти. Но мы на нее не отвлекаемся. Через мой handle explorer ищу это окно, ищу окна рядом с ним. В списке появляется и вторая форма, которая должна появиться после прохождения этой самой авторизации. Посылаем команду "показать окно" второй форме, и как ни странно, оно открывается. Правда на ней нет ничего, что могло было бы пригодиться, т. к. окно считается скрытым и элементы на нем не прогрузились. Отсылаем команду "инициализации" второй форме, вуаля! Вторая форма полностью работоспособная и никакой авторизации проходить не нужно. Если собирать программу на том же QT, второй формы в handle explorer не показывается. Т. е. это уязвимость только версий builder. Может быть есть настройка, где можно "закрыть" эту дыру? 0

@Почтальон управление сложностью 1693 / 1306 / 259 Регистрация: 22.03.2015 Сообщений: 7,545 Записей в блоге: 5
	15.03.2017, 14:04
	А может это не дыра, а такая фича программы? По тому, что вы описали, логика программы простая. Запускается программа (создаются абсолютно все формы, но только они скрыты, кроме первой). Как только проходим авторизацию - показывается (а не создается) второе окно. Вот и все Я все же склонен считать, что это такое поведение программы, а не Билдера. ИМХО 2

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832
	15.03.2017, 14:12 [ТС]
	Так я не создаю другие формы. В том то и дело, что они прогружаются по умолчанию 0

@nick42 Практикантроп 4841 / 2726 / 534 Регистрация: 23.09.2011 Сообщений: 5,798
	15.03.2017, 14:16
	Почтальон, согласен с этим. По всему - логика ТС и Borland'а не совпали на данном отрезке. 0

@ziqp 129 / 65 / 16 Регистрация: 03.09.2015 Сообщений: 832
	15.03.2017, 17:24 [ТС]
	Понял. Спасибо за разъяснение 0

Безопасность форм

Решение