增强MIDAS的安全性

最新推荐文章于 2024-09-23 09:14:08 发布
最新推荐文章于 2024-09-23 09:14:08 发布
阅读量296 收藏
点赞数
分类专栏: delphi 文章标签: 应用服务器 sql 加密 dataset 服务器 function
<script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>

增强MIDAS安全性

大家都知道,使用RemoteDataModule最令人头疼的就是安全性问题。
主要体现在:
1、远端只要知道应用服务器的端口号即可访问到应用服务器,而一旦访问到应用服务器,TClientDataSet即可获得ProviderNames列表。(观点:不让他轻易得到ProviderNames列表。)
2、一旦知道了ProviderNames列表,这就相当于将数据库暴露在外了。
例如:客户端可以通过SQL语句来对数据库进行操作了。(观点:我们的应用服务器根部不接受SQL语句。)

因为看到大家此类贴多如牛毛,又没有什么更好的解决方法,因此我发表一下我的拙见。

我对IAppServer接口进行了进一步的扩展,增强了RemoteDataModule的安全性。主要体现在:
1、客户端侦测到应用服务器的端口号可以建立与应用服务器的连接,但必须提供由TClientDataSet提供一GUID作为密码方能在设计阶段获得ProviderNames列表。此功能使得系统外部人员无法在设计阶段直接在TClientDataSet的ProviderName中直接获得应用服务器的TProvider实例。如果想通过IAppServer来获取ProviderNames列表则必须提供这一特定的GUID作为密码。
IAppServer的AS_GetProviderNames原形为
function  AS_GetProviderNames: OleVariant; safecall;
扩展后的函数为
function  AS_GetProviderNames(Password:WideString): OleVariant; safecall;
系统外部人员能够访问TRemoteDataModule的Provider的唯一方法就是猜测(或者成为蒙)出可能有的ProviderName直接赋值给TClientDataSet的ProviderName属性。当然这是十分困难的(只要你不是直接将datasetProvider1作为TdatasetProvider的名称)。
2、虽然恶意者可能通过其他方法(包括猜测、穷举)来获取到一个具有较高权限的TProvider,但是此步的安全特性完全将其挡在了门外。
TClientDataSet必须提供加密后的CommandText串才能得到应用服务的正确相应。因为这里的加密对象是SQL语句(一个字符串),所以可以使用n多种加密方法。如果应用服务器解密出的串为非法SQL串,会向客户端返回SQL语法错误信息。
而我在处理时并没有对SQL进行真正的加密,而是在TClientDataSet的CommandText中包含了一特定的字符串作为钥匙,而如果服务器得到请求后在CommandText中没有找到这一钥匙则返回“Missiong SQL property”异常。如果服务器得到了这一钥匙,则将这一钥匙从CommandText串中移除后交给TProvider进行处理。

实现:
听上去好像很玄,但实现起来比较简单:
我这里简单说说对SQL串的加密方法:
打开Provider单元,找到TDataSetProvider的SetCommandText方法。
你应该明白了吧。。。

如果你比我还菜,你就这样写:
var commandt:string;
begin
if CommandText='' then Exit;
if Copy(Commandtext,1,8)<>'minercxy' then Exit;
commandt:=Copy(CommandText,9,length(CommandText)-8);
if not(poAllowCommandTet in Options) then
DatabaseError(SCannotChangeCommandText);
CheckDataSet;
IProviderSupport(DataSet).PSSetCommandText(CommandT);
end;

 

发布问题,编译Provider单元并将Provider.dcu文件和并入应用服务器目录中,编译应用服务器。这样Tclientdataset必须提供
'minercxy'+'select * from ...' 这样的命令才能被服务器承认。

我把'minercxy'暂且称为钥匙,钥匙可以自己进行随意设置,位数也可随意长度。当然钥匙的随机性越大安全性就越强了。


 

欢迎大家讨论。

QQ:7943383

Minercxy@incom.com.cn

<script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
zgqtxwd
关注
专栏目录
基于MIDAS破碎巷道支护模拟试验研究
07-03
破碎巷道在矿山工程中较为常见,由于其围岩稳定性差,容易发生变形和破坏,这对矿山的安全开采构成了巨大挑战。因此,本研究的成果对于破碎巷道支护技术的发展具有重要意义。 首先,需要明确MIDAS软件是一款集结构...
midasCivil2006(V7.6.1)Enhancements
01-09
缆索效率表可以显示缆索的张力分布、摩擦损失等关键参数,从而帮助工程师优化设计并确保缆索系统的安全性和经济性。 **时间依赖材料属性(蠕变、收缩、抗压强度和预应力损失)的增加** 按照Eurocode 2:04标准,该...
Android移植源码APP(USB CAMERA APK)问题总结
bmw7bmw7的博客
09-15 7330
最近公司的一个项目(行车记录仪)要求能支持USB camera(兼容uvc)预览显示。在网上浏览了一番相关知识,了解到要使android系统支持usb 摄像头,除了要打开内核中的驱动支持之外,还需要加载专门的APK才能正常显示。考虑到需要系统内部集成usb camera 的APK,且出现问题时最好能进行简单的调试,于是从网上下载了一个源码版本的apk,打算将其移植到系统代码中。原以为移植工作会很简
MiDaS 开源项目安装与使用指南
gitblog_00491的博客
08-09 653
MiDaS 开源项目安装与使用指南 MiDaS项目地址:https://gitcode.com/gh_mirrors/mid/MiDaS 一、项目介绍 MiDaS(Monocular Depth Estimation using Self-supervised learning)是Intel的一个单眼深度估计开源项目,通过自监督学习的方式来预测图像的深度图。它利用了视觉信号在不同视角下的变化来训...
探索MiDaS:实时单图像深度估计的新里程碑
gitblog_00080的博客
04-25 865
探索MiDaS:实时单图像深度估计的新里程碑 MiDaSCode for robust monocular depth estimation described in "Ranftl et. al., Towards Robust Monocular Depth Estimation: Mixing Datasets for Zero-shot Cross-dataset Transfer, T...
网络工程师 第8章 网络安全
Gogineer的博客
09-15 2438
网络工程师 第8章 网络安全 学习摘要
midas技术
yethyeth的专栏
12-31 7476
Multi-Tier结构程序开发基础教程(一)   作者:z33 时间:2001-11-01 10:40 出处:互联网 责编:My FAQ
MIDAS 到 DataSnap
12-12 1002
 从 MIDAS 到 DataSnap从 MIDAS 到 DataSnap 在 Borland 刚刚发布的新产品 Delphi 6 中,原来在 Delphi 5 中的 MIDAS 被改称为 DataSnap 。 Borland 为什么要把 MIDAS 改名呢?我想如果不是 Borland 对 MIDAS 做了(或即将做)很大的改动,她没有必要把 MIDAS 改名, 虽然然市场宣传的需要也
计算机软件-商业源码-利用拦截者技术实现MIDAS数据安全.zip
05-23
这个压缩包文件,显然涉及到一个商业级别的软件项目,其核心是通过拦截器(Interceptor)技术来增强MIDAS(Multiple Instance Data Areas in Shared Memory,多实例数据区在共享内存)的数据安全性MIDAS技术主要...
计算机软件-商业源码-利用“拦截者”技术实现MIDAS数据安全.zip
05-23
通过理解和学习这样的源码,开发者可以学习如何在实际项目中集成拦截器技术来增强数据安全,这对于提升软件的安全性和可靠性具有重要意义。同时,这也是对面向切面编程和数据安全实践的一次深入研究,有助于提升...
区块链论文最新录用A会-ISSTA 2024 共8篇
软件工程小施同学 的专栏
07-13 1428
为了进一步评估这些缺陷在现实世界的 Move 合约中的普遍性,我们提出了 MoveScan,这是一个自动分析框架,它将字节码转换为中间表示 (IR),提取必要的元信息,并检测所有八种缺陷类型。在推动智能合约应用发展的背景下,确保智能合约的安全性变得至关重要。然而,由于链上智能合约调用链的复杂性以及有利可图的漏洞利用需要有效的预言机,智能合约模糊测试在寻找有利可图的漏洞利用方面效率低下且效果不佳。在本文中,我们提出了一种新颖的反馈驱动的模糊测试框架 Midas,以有效挖掘链上智能合约中的有利可图的漏洞利用。
【期末复习】网络安全技术(双语)
热门推荐
不忘初心,护天下安全!
06-27 1万+
如需原版文档,请联系我 《网络安全技术(双语)》 第一章 网络安全的本质 Network Security Essentials 1.Terminology 术语 2.Key Security Concepts/关键的安全概念 3.Computer Security Challenges 4.OSI Security Architecture/OSI安全体系结构 5.Passive ...
星环大数据安全组件Guardian与hadoop自带的安全组件区别
weixin_30808693的博客
02-12 624
在进行讲解之前,先带大家学习下hadoop关于hdfs自己的安全如何实现的--------------------------- 名词: ACL-访问控制列表(Access Control List,ACL) ARBAC-基于角色的权限访问控制(Role-Based Access Control) 所有安全体系的了解,大数据平台安全体系的四个层次说起:外围安全、数据安全、访问安全以及访问行...
[OPEN SQL] SELECT语句
最新发布
Hudas的博客
09-23 396
本文主要讲解OPEN SQL读取数据的SELECT语句相关知识点
2009年midasCivil2006 V7.6.1增强功能概述:分析与预后处理提升
Midas Civil 2006 (V7.6.1) 是一款专业的结构分析和设计软件,在2009年4月进行了多项关键增强,旨在提升工程项目的精确性和...通过利用这些新特性,用户能够更好地满足工程项目的性能要求,同时提高设计效率和安全性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值