Foro de elhacker.net

Hola buenas, estoy haciendo un sistema para enviar emails desde un form, y tengo que ceder mi contraseña para que se puedan mandar emails correctamente, tengo una duda, hay alguna forma de cargar externamente un recurso si que de problemas?

Es decir, por ejemplo, en mi hosting meto un htaccess y un txt (el htaccess bloquea el acceso según el user-agent (por si alguien se infiltra) y luego que haya alguna forma de que el WindowsForms si pueda sacar ese TXT)..

Edito: Se me ha ocurrido una idea, que es darle permisos dentro de mi FTP... (Con chmod) Voy a ver si hago algo... ;)

Y por si fuera poco pues añado esto:

    Function SendEmail(ByVal Recipients As List(Of String), _
                  ByVal FromAddress As String, _
                  ByVal Subject As String, _
                  ByVal Body As String, _
                  ByVal UserName As String, _
                  ByVal Password As String, _
                  Optional ByVal Server As String = "smtp.gmail.com", _
                  Optional ByVal Port As Integer = 587, _
                  Optional ByVal Attachments As List(Of String) = Nothing) As String
        Dim Email As New MailMessage()
        Try
            Dim SMTPServer As New SmtpClient
            For Each Attachment As String In Attachments
                Email.Attachments.Add(New Attachment(Attachment))
            Next
            Email.From = New MailAddress(FromAddress)
            For Each Recipient As String In Recipients
                Email.To.Add(Recipient)
            Next
            Email.Subject = Subject
            Email.Body = Body
            SMTPServer.Host = Server
            SMTPServer.Port = Port
            SMTPServer.Credentials = New System.Net.NetworkCredential(UserName, Password)
            SMTPServer.EnableSsl = True
            SMTPServer.Send(Email)
            Email.Dispose()
            Return "Email to " & Recipients(0) & " from " & FromAddress & " was sent."
        Catch ex As SmtpException
            Email.Dispose()
            Return "Sending Email Failed. Smtp Error."
        Catch ex As ArgumentOutOfRangeException
            Email.Dispose()
            Return "Sending Email Failed. Check Port Number."
        Catch Ex As InvalidOperationException
            Email.Dispose()
            Return "Sending Email Failed. Check Port Number."
        End Try
    End Function
 
    Private Function GenerateHash(ByVal SourceText As String) As String
        'Create an encoding object to ensure the encoding standard for the source text
        Dim Ue As New UnicodeEncoding()
        'Retrieve a byte array based on the source text
        Dim ByteSourceText() As Byte = Ue.GetBytes(SourceText)
        'Instantiate an MD5 Provider object
        Dim Md5 As New MD5CryptoServiceProvider()
        'Compute the hash value from the source
        Dim ByteHash() As Byte = Md5.ComputeHash(ByteSourceText)
        'And convert it to String format for return
        Return Convert.ToBase64String(ByteHash)
    End Function
 
 
    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Dim Recipients As New List(Of String)
        Recipients.Add("Email a enviar, es decir, el mío")
        Dim FromEmailAddress As String = Recipients(0)
        Dim Subject As String = "Test From VB."
        Dim Body As String = "email body text, if you are reading this from your gmail account, the program worked."
        Dim UserName As String = "Email sin el @gmail.com"
        Dim Password As String = GenerateHash("Contraseña que se saque de un TXT cifrada en Base64") 'Aquí debería estar la magia del ChMod... Me gustaría saber como resaltar una línea de code... :-\
        Dim Port As Integer = 587
        Dim Server As String = "smtp.gmail.com"
        Dim Attachments As New List(Of String)
        SendEmail(Recipients, FromEmailAddress, Subject, Body, UserName, Password, Server, Port, Attachments)
    End Sub

Un saludo.
PD: Este es mi mensaje 1000! :)

PDS: Todo esto lo hago porque luego puede venir cualquier gracioso y sacarla con el Net Reflector...

---

Esto no va con .NET, en parte no:

Tengo una duda, con el chmod:

http://www.onlineconversion.com/html_chmod_calculator.htm

Se necesita ejecutarse para que Form lo pueda leer, o con la propiedad Read ya basta? Mejor dicho, Execute que hará? Voy a buscar... xD

===========

http://es.wikipedia.org/wiki/Chmod


Es decir, que si pongo permisos 111, VB.NET va a poder hacer algo? :huh: Creo que no... :-\

PD: Efectivamente, después de leer 3 veces esa cita, finalmente no va a leer nada.. Pero como le digo a la app que es el Owner (con Chmod a 400) y no cualquier otro grupo  o visitante? :-\

¿Y todo eso que propones lo consideras seguro? :P

Saludos

Hombre no mucho, pero por lo menos a los noobs que estén empezando a crackear no les va a resultar muy fácil, o eso creo... :P

Por lo menos, dime como lo puedo hacer :-\, o si quieres alguna recomendación o algo más seguro que se te ocurra :P

¿Por qué debes de proporcionar tus credenciales? ¿Por qué no pides que lo ingresen los usuarios?

Saludos

Es para registrar las cosas que hagan los usuarios, y por eso necesitan ser mis credenciales... :-\

---

No se usar MySQL en VB.NET xD Y ademáas, si me borran el hosting pues por lo menos, tengo el respaldo de los emails.. :)

De alguna forma todo lo que se compila se debe poder descompilar para ser procesado por el engine del framework, sinó la app no se podría leer/ejecutar.
PD: Iba a pasarte un enlace sobre esto, era muy interesante, pero hace ya tiempo que me documenté y no recuerdo el enlace.

Lo que comentas del .NET Reflector, es inevitable, .NET Reflector no es un super programa que craquea las aplicaciones, no, es solo es una GUI para el reflector, otro ejemplo será el "simple assembly Explorer", deberías leer sobre el término "Reflection" para entenderlo mejor.

Con esto te quiero decir que... como es inevitable yo no perdería mucho el tiempo a la hora de buscar la protección perfecta, porque no existe, el mejor cracker siempre va a poder averiguar tus credenciales si se propone el reto.

No soy un experto en el tema de la ingenieria inversa, pero aquí va mi consejo:

Si estás tán convencido de querer usar tus credenciales pues, lo que te recomiendo es que añadas una protección mínima dentro del proyecto para las credenciales, por ejemplo usar algún tipo de hash como MD5 para tu contraseña, y luego, después de esa protección mínima, usar algún software profesional para proteger tu proyecto como por ejemplo "Crypto Obfuscator" o "Smart Assembly", por más códigos que encuentres con intención de hacer copy&paste para proteger tu app ninguno va a ser tán eficaz como este tipo de aplicaciones profesionales, que además de ofuscar, encriptan y comprimen, todo a niveles extremos ...tanto que si no lo usas bien podrías corromper el executable (pero siempre puedes volver a intentarlo usando niveles más bajos de protección :P).

Saludos...

Resultaría más práctico hacer un hash sobre los valores concatenados de usuario y contraseña y almacenar solamente eso.

Así, cuando se ingrese el usuario y contraseña, se calcularía, por ejemplo, el hash MD5 de esos valores con el hash MD5 almacenado en el código fuente.

Aunque todo esto podría no servir de nada si alguien más tiene acceso a la aplicación y si ese alguien es capaz de eliminar ese paso de seguridad, a menos que todos los datos estén cifrados también usando ese valor MD5 como "semilla" de cifrado, como mínimo por ejemplo, de una combinación alterada del "alfabeto" de Base64.

Así que si los caracteres de Base64 son originalmente:

"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="

que se determine dinámicamente un orden diferente con algún algoritmo, que resultaría en una cadena como:

"CDEFGHopIJKLMPtuQRST34UVWXABYZabcdefghijklNOmnqrsvwxyz01256789+/="

Aunque esto seguiría sin servir de nada tan pronto alguien más tuviera acceso al programa, y a los valores de nombre de usuario y contraseña.

Para esto te recomiendo que lo hagas mediante un script en tu servidor que lea el contenido de ese TXT cuando se llame con una contraseña exclusiva para ese propósito como parametro. Después llamas al script desde tu aplicación con un HTTPRequest y pasando la contraseña como parámetro para eso (Contraseña que no escribirías como constante en tu aplicación para evitar que sea vista con ingeniería inversa). El script te devolverá el contenido del TXT cuando le pases la contraseña correcta.

"Hostearía" código servidor que reciba las información por query string y lo guardaría en una base de datos.

Y porque no guardarlo en el hosting en simples txt y descargarlo periodicamente los cambios (o los archivos nuevos) en tu pc?

No se... Además tengo ganas de aprender a cifrar una contra, y creo que ya se como lo voy a hacer :laugh:

No hay nada más inseguro que tener código de comprobación de credenciales del lado del cliente, imagínate que las operaciones de transacciones bancarias se realizaran del lado del cliente :xD

Lo mejor es el "hostear" el código de comprobación en un server.

Existen 3 tipos de cifrado: simétrico, asimétrico y de resumen.

Cada uno tiene sus fines, el cifrado mal practicado puede ser más inseguro que no cifrar la información.

Puedes buscar información al respecto, .Net Framework ya posee clases prediseñadas para los tipos de cifrados más comunes.

+1


yo utilizao md5(base64())


Exacto, sería bueno crear un propio método de encrypt.
Aunque obviamente tendrías que incluir en tu código el método para decrypt xD

Saludos.

~ y Darhius, en este caso un algoritmo de hashing como MD5 no es válido, ya que necesita la contraseña en plano para utilizarla en el SMTP

Saludos

Sí perdón, olvidé que especificar que lo hago para php (100% offtopic  :xD)

Lo pregunto porque de hecho hice una aplicación de escritorio en java y sería más o menos el mismo caso.
Lo que yo hice y con un cierto grado de desconfianza  :¬¬ tengo algo como lo siguiente.

config.INI

Leo el archivo y sus respectivos valores para descifrarlo con métodos.
Aunado a todo esto y inexperiencia para tratar este tema lo que hice fue ofuscar el código.

Pero entonces para .net que sugieren los expertos?  :rolleyes:

En este caso puntual ...