是这样,我公司用了商务通软件,本地***它提供的exe执行程序,然后登录,接着在我公司网站挂一行代码,客户点击链接,就可以实现网页在线咨询聊天。比如在页面加了这代码:
&a&href=&/LR/Chatpre.aspx?id=LKT&lng=cn&&&咨询&/a&
这个时不时的会被人破解,账号被盗,严重的是盗取我们客户的资料,这是最痛心的事情。
不排除提供商把数据库泄密给同行业的其他公司,因为数据库不是在我方服务器的,所以它搞了什么动作,都不知道。或者是黑客攻击,获取我公司的商务通账号密码,窃取客户资料,倒卖给同行业其它公司。
公司考虑自己弄一个聊天程序,最主要是,大概功能我也能搞出来,就不知道如何去防范别人的恶意破解。我暂时有2个办法:
1.限制登录这个聊天系统的IP,不是指定IP就不能登录系统
2.绑定MAC地址,直接固定某台机器才能登录系统
你们觉得怎么搞才好?
有些银行用的是矩阵动态密码,是怎么个实现法?
好着急啊!帮帮忙吧?
回复讨论(解决方案)
有点没懂,到底是客户端(网页)那块有安全问题
还是在说你们的后台系统有问题
商务通软件直接Socket通信,还是直接SQL操作呢?
有点没懂,到底是客户端(网页)那块有安全问题
还是在说你们的后台系统有问题
其实,我也不知道是怎么就被破解的,你说客户端网页吧,就一个链接而已和一段JS引用
&a&href=&http://lkt.zoosnet.net/LR/Chatpre.aspx?id=LKT&lng=cn&&&咨询&/a&
&script&language=&javascript&&src=&http://lkt.zoosnet.net/JS/LsJS.aspx?
siteid=LKT7004939&float=1&&&/script&
LKT7004939这个ID是我商务通账号
至于后台系统,我就无法知道了,不是网页后台系统,是一个CS程序,链接到商务通公司的服务器
如果把他们的商务通源码给搞过来,什么都明白了!
本地***它提供的exe执行程序,然后登录&所有本地操作只能用加密的通讯协议(API),不能直接SQL操作
本地***它提供的exe执行程序,然后登录&所有本地操作只能用加密的通讯协议(API),不能直接SQL操作
这样的话,那会是什么原因?
----------------------------
那么只有这个因素了吧,通过下面链接的url参数,分析逻辑行为,入侵到商务通?这里应该就是直接操作SQL了吧
&a&href=&http://lkt.zoosnet.net/LR/Chatpre.aspx?id=LKT&lng=cn&&&咨询&/a&
&script&language=&javascript&&src=&http://lkt.zoosnet.net/JS/LsJS.aspx?siteid=LKT&float=1&&&/script&
.exe程序不一定就安全呀,可以有很多总途径反编译和破解.net常用的破解有Reflector,顽固的exe也有ollydbg,所以已经没有什么的安全的了
商务通破解有头绪了吗类似问题 &
ASP.NET &&&&最新内容
ASP.NET &&&&相关内容本帖子已过去太久远了,不再提供回复功能。