#0
by Taras2011
Есть задача проверить код 1С на безопасность. Проблема: анализатор видит только код ООП (C,C++,JAVA ... и еще xml). Как бы найти способ решения перевести выгрузку конфигурации (в txt сейчас) к читаемому виду?... Выгрузил метаданные: думаю, можно скормить анализатор... Хотя, не знаю, что мне это даст (ну проверит он мне на стандарт, ну и что...). Маловато будет... Есть у кого-нибудь сильные предложения?))
#18
by drcrasher
ну и к вопросу о сильных предложениях: предложи алгоритм для УФ, необходимо на сервере создать несколько документов и, не сохраняя их, открыть формы этих документов на клиенте.
#23
by mikecool
вот как можно нести околесицу, да еще ее на публику выносить или автор - толстый трололо?
#33
by Taras2011
ну поплачь))) Пример В данном примере рассматривается процедура получения учетных данных по идентификатору пользователя и паролю с использованием протокола LDAP . Примечание: функции base64 и SHA не являются стандартными и должны быть реализованы отдельно. Из-за отсутствия проверки параметра Логин на наличие специальных символов языка запросов LDAP злоумышленник может реализовать следующую атаку: Пароль: secret При таком значении параметра фильтр LDAP-запроса будет состоять из двух частей: 1) (&(uid=*)(uid=*)) – истинно для объектов с любым значением поля uid 2) (|(uid=*)(objectClass=inetOrgPerson)(userPassword={SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=)) – истинно для объектов с любым значением поля uid, либо для объектов у которых поле objectClass имеет значение inetOrgPerson, и поле userPassword имеет значение {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=. Таким образом, в выборку попадут все объекты с любым значением поля uid, и злоумышленник сможет обойти механизм аутентификации.
#50
by 0xFFFFFF
ну ппц. 1С в данном случае - гаечный ключ, а твой ЛДАП - болт (например на 16). Если болт откручивается гаечным любым гаечным ключом на 16 (алюеминевым, латунным, стальным) - (1С, ВБА, паскаль, фортран), то это значит, что болт уязвим для ключа, а не сам ключ. Ферштейн. Блин, такие умности в написаны, своим прям разочаровал.
#62
by Лефмихалыч
Надо проверить русский текст на орфографические ошибки. Есть программа, которая умеет проверять только английский текст. Как перевести русский текст на английский язык, чтобы проверить на наличие русских орфографических ошибок. Памойму автор лизергином закинутый
#64
by RichardStallman
Интересно, а такой код с точки зрения ООП безопасен Платежка=ЗавестиИсходящееПП("Антигуа и Барбуда","Вася Пупкин ООО",СтоМильенов); Платежка.СтатусКВыгрузкеВКлиентБанк=Готов;
#68
by yukon
> Из-за отсутствия проверки параметра Логин на наличие специальных символов языка запросов LDAP злоумышленник может реализовать следующую атаку: Ха! Нафик это ему нужно, когда ему доступны на чтение константы ЛогинLDAP и ПарольLDAP.
#69
by Бертыш
Выгрузи весь код в текст и сканируй на наличие конструкции COMОбъект, а дальше руками Но вообще кажись в восьмерке, а впрочем и в семерке тоже можно бинарник пртащить
Тэги: 1С 8
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- Спрятать в подборе номенклатуры остатки по определенным складам УТ 10.3
- Запрет на выбор подгруппы справочника
- На какую дату желательно рассчитывать итоги регистров конфигураций 1С8
- ВидСубконто для несуществующих субконто
- API Сфера Корус Консалтинг. Проблемы подключения.
- Частичная отгрузка заказа УТ 10.3
- Скопировать Номенклатуру с комплектующими
- 8.3 подвал итоги
- Подскажите как сменить пароль на личный кабинет билайн ? (корпоративный инет)
- СКД: представление параметра
- Табличный документ.Напечатать()
- Нагрузочный тест TPC-1C Гилева
- УТ 10.3 скрыть цены и сумму в приходной
- Как программно вызвать диалог настройки управляемой формы?
- Пятница. Убил базу. не запускается rphost
- Исчезла табличная часть "Отчета о розничных продажах" УТ 10.3
- MSSOAP.SoapClient30 и Windows 7/8
- БПО 1.0.14.1 не работает драйвер сканера штрихкода 1С
- СКД, вывод дерева значений в СКД
- КД2, строка в предопределенный элемент справочника