P007
"Łamanie" zabezpieczeń na poziome użytkownika

(Już nie, patrz niżej) Jedynym znanym (w chwili pisania tego tekstu) programem, umożliwiającym złamanie zabezpieczeń na poziomie użytkownika jest GetAccess. Wersję demonstracyjną można pobrać z:

• http://www.ashishsystems.com (witryna producenta)

oraz z kraju (podziękowania dla Krzysztofa Czuryło):

• http://www.amg.gda.pl/~krzycz/access.htm

Działanie programu polega na przywracaniu wszystkich praw do obiektów (z wyjątkiem obiektu Baza danych, patrz niżej) standardowej grupie Użytkownicy (Users). Ponieważ grupa Użytkownicy jest taka sama w każdym pliku Grupy roboczej (system.mda/mdw), oraz każde konto w Accessie musi należeć do tej grupy, uzyskanie praw do obiektu  grupy Użytkownicy jest równoznaczne z uzyskaniem praw przez każde konto.
GetAccess funkcjonuje jednak w ograniczonym zakresie, należy go zatem traktować raczej jako ratunek w pewnych awaryjnych sytuacjach, a nie "crack", umożliwiajacy uzyskanie dostepu do każdej zabezpieczonej bazy. W szczególności program nie "łamie":

• Baz zaszyfrowanych - o czym producent informuje w helpie,
• W wersji demonstracyjej baz o rozmiarze powyżej 500KB.

Ponadto, na podstawie serii prób przeprowadzonych przeze mnie:

• Nie zmienia uprawnień grupy Użytkownicy do obiektu Baza danych. Czyli jeśli ktoś w ogóle nie ma prawa do otwarcia danej bazy, nadal takiego prawa nie uzyska,
• Dosyć dziwne - przywraca uprawnienia tylko do tych obiektów, do których grupa Użytkownicy w ogóle nie ma żadnych praw. Jeśli jednak grupa Użytkownicy ma przyznane prawa, które okresliłbym jako częściowe (np. może tylko czytać dane z tabeli, bez możliwości modyfikacji projektu i administrowania), wówczas uprawnienia nie są zmieniane.

Poniżej można pobrać moje przykłady kilku baz, które GetAccess złamie całkowicie, częściowo, oraz wcale (pomimo, że są niezaszyfrowane):

• ga98test.zip (ok.148KB, bazy w formacie Acc 97)

Jeśli ktoś z szanownych internautów zna inne narzędzia do "łamania" baz zabezpieczonych na poziomie użytkownika (nie hasłem!!!), zna interesujące fakty dotyczące tego tematu (np. "dziury" w zabezpieczeniach), oraz zechciałby się podzielić... - czekam...

(2 XII 2000)

• FullAccess - program (notabene napisany a Accessie) autorstwa Krzysztofa Pozorka, http://strony.wp.pl/wp/msaccess/   Aplikacja wydaje się być znacznie lepsza niż GetAccess, bez trudu łamie wszystkie bazy zawarte w ga98test.zip. FullAccess jednak (na szczęście... ;-) , podobnie jak GA nie łamie baz zaszyfrowanych.
• Metoda "drag & drop" ("przeciągnij i upuść") w Accessie'97 - opis w B004

Napisał: Stanley, 14 II 1999, modyfikacja 2 XII 2000

[Strona główna] [Wyjście] [Poprzedni] [Następny]