[C#]Salt over input

ditismenno

Beste icter,s
Voor mijn games en games van mijn vrienden ben ik een soort steam achtig programma aan het schrijfen.
Uiteraard in C# omdat ik dit al een beetje kan door het maken van games in unity.
Ik ben nu bezig me het login systeem die is gekoppeld met mijn site alleen moet ik het wachtwoord encrypten endat lukt me niet.
Wat ik wel al heb kunnen doen is er sha1 overgooien maar hoe krijg ik er dan nog een salt over?
De textinput is textbox2.text

alvast bedankt

MVG
Menno

Luc

private string encryptSalt = textbox2.text + "encryptKey";

of andersom:
private string encryptSalt = "encryptKey" + textbox2.text;

of beide:
private string encryptSalt = "encryptKey" + textbox2.text + "andere";

Gewoon aan elkaar plakken net als je in PHP doet.

ditismenno

Ik dacht dat ik dat nij php anders had gedaan maar toch bedankt

Luc

Hoe heb je het bij PHP gedaan?

ditismenno

Ik zie het al 1 ik gebruik geen sha1 maar sha512 en 2 in php word me salt niet gebruikt:

PHP

$password = hash('SHA512', $salt.$_POST['password']);

Nu is alleen mij vraag hoe ik in c# andere form open want hide dat weet ik wel dat is:

PHP

this.hide();

@let maar al gelukt

gerwim

Zolang je de HTTP authenticatie maar over SSL doet

jopitan

Onthoud dat C# naar CIL wordt gecompiled en dit kan makkelijk worden gedecompiled worden. Dus stop NOOIT maar dan ook NOOIT wachtwoorden of secrets in je C# broncode.

Kun je CIL dan compilen naar iets anders?
Om dat te begrijpen zal ik je wat vertellen over twee verschillen.
1. yourapp.exe --> compiled --> CIL / MSIL --> Werkt op elke PC.
2. notepad.exe --> Native Code --> Code dat geoptimaliseerd is alleen voor DIE specifieke PC waar jij het voor het eerst op hebt gedraait -> Zal niet werken op een andere PC wanneer je het zou kopieren

Wat gebeurt er als je notepad.exe uitvoert?
De native code zal meteen worden uitgevoerd.

Wat gebeurt er als je yourapp.exe uitvoert?
Hij wordt niet meteen uitgevoerd maar wordt nog een keer gecompiled. Het zogehete JIT (Just In Time). Deze JIT zorgt ervoor dat de CIL code gecompiled wordt naar Native code, daarmee bedoel ik code die de computer kan begrijpen.

Kun je dan je .exe compilen naar native code?
Ja dat kan, maar dan draait het alleen op het specifieke systeem waar jij het opdraait. Oftewel wanneer jij deze native code applicatie kopieert naar een andere PC dan denkt die PC van "Dafuq!?". De JIT zorgt ervoor dat de applicatie wordt geoptimaliseerd voor jouw PC.

Is het nuttig om mijn CIL naar Native te compilen?
Nee, alleen bij applicaties die enorm zijn (neem Office van Microsoft).

Waarmee zou ik kunnen decompilen?
ILSpy is één van de velen op het internet.

Ik ben toch geïnteresseerd om te compilen naar Native code, waarmee doe ik dat?
ngen.exe (standaard op de PC, zo aan te roepen vanuit command prompt), voor meer informatie hierover zou ik even gebruik maken van google

Conclusie?
Nooit secrets of wachtwoorden in je C# te gebruiken.

ditismenno

Citaat van jopitan

Onthoud dat C# naar CIL wordt gecompiled en dit kan makkelijk worden gedecompiled worden. Dus stop NOOIT maar dan ook NOOIT wachtwoorden of secrets in je C# broncode.
Kun je CIL dan compilen naar iets anders?
Om dat te begrijpen zal ik je wat vertellen over twee verschillen.
1. yourapp.exe --> compiled --> CIL / MSIL --> Werkt op elke PC.
2. notepad.exe --> Native Code --> Code dat geoptimaliseerd is alleen voor DIE specifieke PC waar jij het voor het eerst op hebt gedraait -> Zal niet werken op een andere PC wanneer je het zou kopieren
Wat gebeurt er als je notepad.exe uitvoert?
De native code zal meteen worden uitgevoerd.
Wat gebeurt er als je yourapp.exe uitvoert?
Hij wordt niet meteen uitgevoerd maar wordt nog een keer gecompiled. Het zogehete JIT (Just In Time). Deze JIT zorgt ervoor dat de CIL code gecompiled wordt naar Native code, daarmee bedoel ik code die de computer kan begrijpen.
Kun je dan je .exe compilen naar native code?
Ja dat kan, maar dan draait het alleen op het specifieke systeem waar jij het opdraait. Oftewel wanneer jij deze native code applicatie kopieert naar een andere PC dan denkt die PC van "Dafuq!?". De JIT zorgt ervoor dat de applicatie wordt geoptimaliseerd voor jouw PC.
Is het nuttig om mijn CIL naar Native te compilen?
Nee, alleen bij applicaties die enorm zijn (neem Office van Microsoft).
Conclusie?
Nooit secrets of wachtwoorden in je C# te gebruiken.

Toon Meer

Dankjewel want mijn wachtwoord van database staat erin natuurlijk

jopitan

Citaat van ditismenno

Dankjewel want mijn wachtwoord van database staat erin natuurlijk

Geen dank, ik heb er nog wat meer bij gezet.

Mocht je met de vraag zitten van: "Hoe doe ik dat dan?"
Dan zal ik dat hier even proberen uit te leggen doormiddel van pijltjes.

Applicatie --> Vereist login als eerst --> Username + Wachtwoord worden ingevuld --> User klikt op "Login" button --> Details worden naar server gestuurt (E.g. nginx server of apache server --> url: https://schapen.nl/users/doLogin/) --> doLogin() methode kijkt wat voor request het is --> Ajax / POST --> Applicatie verstuurd gegevens naar url als POST --> vereis meer parameters, zoals OS en eventuele MD5 codes van bestanden ik noem maar wat --> Ga login traject af --> Weergeef response --> Applicatie handelt response af en geeft een message met de error of een uniek ID terug die je valideert als ingelogde gebruiker.

Een uniek ID wanneer de inlog succesvol was?
Ja, dit ID moet je zien als een PHP session ID alleen dan voor je applicatie. Je houdt bij wanneer die afloopt of dat hij nog vanaf het zelfde IP, OS, MD5, enzovoort enzovoort wordt gebruikt.
Elke keer wanneer de ingelogde gebruiker een actie doet in je C# applicatie dan stuurt hij een request naar de server met dat specifieke Unieke ID met natuurlijk de overige gegevens om te valideren.
Wanneer deze op één punt niet overeenkomen --> Opnieuw inloggen --> Eventuele ID verwijderen enzovoort

ditismenno

ik snap nu alleen nog niet helemaal hoe ik hem daar tegen beveilig

jopitan

Citaat van ditismenno

ik snap nu alleen nog niet helemaal hoe ik hem daar tegen beveilig

Wat bedoel je met "hem"? Tegen wat beveiligen?

ditismenno

met hem bedoel ik de wachtwoorden in mijn script ETc eigelijk mijn hele script

jopitan

Citaat van ditismenno

met hem bedoel ik de wachtwoorden in mijn script ETc eigelijk mijn hele script

Dat soort dingen doe je dus buiten je C# programmering. Dat laat je alleen via je server gaan.

Om het even heel simpel en kort te beschrijven:
Je hebt een script op je webserver staan zoiets als ("doLogin.php" nader genoemd Server). In de server gebeurt alleen maar de connectie met de database en hetgeen dat moet gebeuren.

Stel dat je het zo hebt:

C# Login Formulier

PHP

Username: [username_field]
Password: [password_field]
[login_button]

Wanneer op "login_button" wordt gedrukt wordt de username en de password doorgestuurd naar de server als een POST.

Dan zal de server code er zo bijvoorbeeld uit zien:

PHP

if($class->isPostRequest()) {
		$class->username = $class->getParameter('username');
		$class->password = $class->getParameter('password');
		if(!$class->isValidUsername()) {
			$json = array("message" => "Invalid username.");
		} elseif(!$class->isValidPassword()) {
			$json = array("message" => "Invalid password.");
		} elseif(!$class->userExists()) {
			$json = array("message" => "Combination of username and password is invalid.");
		} else {
			$genId = $class->createUserToken();
			if($genId) {
				$json = array("id" => $genId);
			} else {
				$json = array("message" => "Something went wrong.");
			}
		}
		echo json_encode($json);
	}

Toon Meer

Dit is natuurlijk een afgekapte manier van het verwerken van gegevens.

Wanneer je dan een response krijgt van de server in je c# applicatie en dit bevat een message dan is het inloggen mislukt.
Wanneer je een ID ontvangt dan is de gebruiker ingelogd. Dit ID onthoudt je voor de huidige sessie van de applicatie.

Nou wil je natuurlijk dat een gebruiker bepaalde functies alleen kan doen wanneer die ingelogd is. Als ik nu over de server spreek dan heb ik het bijvoorbeeld over "getGames.php"

Je stuurt een request met het ID en eventuele extra parameters die je wilt naar de server.
Dan zou de code er zo in het kort uitzien voor de server:

PHP

if($class->isPostRequest()) {
	
		$class->id = $class->getParameter('id');
		if($class->isValidId()) {
			$json = array("html" => $class->getGames());
		} else {
			$json = array("message" => "An error occurred. Grab a coffee while you can.");
		}
		
		echo json_encode($json);
		
	}

Toon Meer

Ik hoop dat ik zo een beetje het idee heb gegeven van hoe je applicatie dan veilig is. Natuurlijk is dit nog maar 10% van alles en kun je alles veel verder uitbreiden.

ditismenno

Citaat van jopitan
Dat soort dingen doe je dus buiten je C# programmering. Dat laat je alleen via je server gaan.
Om het even heel simpel en kort te beschrijven:
Je hebt een script op je webserver staan zoiets als ("doLogin.php" nader genoemd Server). In de server gebeurt alleen maar de connectie met de database en hetgeen dat moet gebeuren.
Stel dat je het zo hebt:
C# Login Formulier
PHP
Username: [username_field]
Password: [password_field]
[login_button]
Wanneer op "login_button" wordt gedrukt wordt de username en de password doorgestuurd naar de server als een POST.
Dan zal de server code er zo bijvoorbeeld uit zien:
PHP
if($class->isPostRequest()) {
		$class->username = $class->getParameter('username');
		$class->password = $class->getParameter('password');
		if(!$class->isValidUsername()) {
			$json = array("message" => "Invalid username.");
		} elseif(!$class->isValidPassword()) {
			$json = array("message" => "Invalid password.");
		} elseif(!$class->userExists()) {
			$json = array("message" => "Combination of username and password is invalid.");
		} else {
			$genId = $class->createUserToken();
			if($genId) {
				$json = array("id" => $genId);
			} else {
				$json = array("message" => "Something went wrong.");
			}
		}
		echo json_encode($json);
	}
Toon Meer
Dit is natuurlijk een afgekapte manier van het verwerken van gegevens.
Wanneer je dan een response krijgt van de server in je c# applicatie en dit bevat een message dan is het inloggen mislukt.
Wanneer je een ID ontvangt dan is de gebruiker ingelogd. Dit ID onthoudt je voor de huidige sessie van de applicatie.
Nou wil je natuurlijk dat een gebruiker bepaalde functies alleen kan doen wanneer die ingelogd is. Als ik nu over de server spreek dan heb ik het bijvoorbeeld over "getGames.php"
Je stuurt een request met het ID en eventuele extra parameters die je wilt naar de server.
Dan zou de code er zo in het kort uitzien voor de server:
PHP
if($class->isPostRequest()) {
	
		$class->id = $class->getParameter('id');
		if($class->isValidId()) {
			$json = array("html" => $class->getGames());
		} else {
			$json = array("message" => "An error occurred. Grab a coffee while you can.");
		}
		
		echo json_encode($json);
		
	}
Toon Meer
Ik hoop dat ik zo een beetje het idee heb gegeven van hoe je applicatie dan veilig is. Natuurlijk is dit nog maar 10% van alles en kun je alles veel verder uitbreiden.
Toon Meer

Dankjewel ik snap het idee en ga het uitwerken maar nu is mijn vraag is het ook mogelijk dat ik kan zorgen dat ze mijn script niet kunnen stelen?

jopitan

Citaat van ditismenno

Dankjewel ik snap het idee en ga het uitwerken maar nu is mijn vraag is het ook mogelijk dat ik kan zorgen dat ze mijn script niet kunnen stelen?

Als je met script de C# broncode bedoelt. Dan nee.
Er zijn overigens wel manieren om het lastiger te maken.

Zie: http://stackoverflow.com/questions/1825…ng-disassembled

ditismenno

Wat ik nu heb gemaakt is dus onvelig:

PHP

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Threading;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using MySql.Data.MySqlClient;
using System.Security.Cryptography; 


namespace ugdevelop
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }


        private void Form1_Load(object sender, EventArgs e)
        {


        }


        public string getSHA1Hash(string strToHash)
        {
            System.Security.Cryptography.SHA512CryptoServiceProvider sha1Obj = new System.Security.Cryptography.SHA512CryptoServiceProvider();
            byte[] bytesToHash = System.Text.Encoding.ASCII.GetBytes(strToHash);


            bytesToHash = sha1Obj.ComputeHash(bytesToHash);


            string strResult = "";


            foreach (byte b in bytesToHash)
            {
                strResult += b.ToString("x2");
            }


            return strResult;


        }


        private void button1_Click(object sender, EventArgs e)
        {
        }


        private void button1_Click_1(object sender, EventArgs e)
        {


            string cs = @"server=31.186.175.52;userid=ughost;
    password=*******;database=ughost_forum";


            MySqlConnection conn = null;
            MySqlDataReader rdr = null;




            try
            {
                conn = new MySqlConnection(cs);
                conn.Open();
                string stm = "SELECT username, password FROM users WHERE username='" + username.Text + "'";
                MySqlCommand cmd = new MySqlCommand(stm, conn);
                rdr = cmd.ExecuteReader();






                Console.WriteLine("{0} {1}", rdr.GetName(0),
                rdr.GetName(1).PadLeft(18));


                if (rdr.Read())
                {
                    if (getSHA1Hash(password.Text) == rdr.GetString(1))
                    {
                        System.Windows.Forms.MessageBox.Show("U bent succesfol ingelogd :D");
                        this.Hide();
                        index2 f = new index2();
                        f.Show();
                    }
                    else
                    {
                        System.Windows.Forms.MessageBox.Show("Uw wachtwoord is onjuist.");
                    }
                }
                else
                {
                    System.Windows.Forms.MessageBox.Show("Uw gebruikersnaam is onjuist.");
                }
            }
            catch (MySqlException)
            {
                //werkt niet
            }
            finally
            {
                if (rdr != null)
                {
                    rdr.Close();
                }
                if (conn != null)
                {
                    conn.Close();
                }
            }
        }
    }
}

Toon Meer

gerwim

Ja, je wachtwoord staat gewoon letterlijk in de code, wat iedereen eruit kan vissen als het gecompiled is.

Wat je moet doen, is verbinden met je server (via een HTTP request of je eigen protocol) en dan aan de server "vragen" of de gebruikersnaam en wachtwoord overeenkomt.

Tim

Hallo,

Nee, de code is niet veilig.
Kijk maar eens naar je query.

Mvg,
Tim

ICTscripters

Dé plek voor IT

Dé plek voor IT

Op zoek naar de legends

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Van een pixelige afbeelding naar een strakke, moderne website

[C#]Salt over input

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken