J********e
发帖数: 2284 | 1 Windows XP/2000/7的系统。
现有一个程序A,是其他厂商提供的所以没有源码。这个程序的执行方式是用命令行:
A.exe - A.exe是可执行文件,接受用户名和密码作为命
令行参数。
现在公司的安全规章要做调整,要求密码必须从其他来源获取,用户不能够知道并手工
输入密码。我的打算是用另外加一个公司自己开发的程序B,譬如用C#的System.
Diagnostics.Process class, 在这个程序B里执行A.exe 并且加上 和 <
password>作为参数 - 其实就是用自己的程序来执行命令行以启动程序A.
我的问题是,在这种情况下,用户能不能通过其他方式从系统中知道用什么参数执行了
程序A(密码在参数中),从而恶意获取密码?
谢谢! |
X****r
发帖数: 3557 | 2 Windows Task Manager -> "Processes" tab -> "View" menu
-> "Select columns..." menu item -> "Command Line" checkbox
-> "Ok" button
:
【在 J********e 的大作中提到】
: Windows XP/2000/7的系统。
: 现有一个程序A,是其他厂商提供的所以没有源码。这个程序的执行方式是用命令行:
: A.exe - A.exe是可执行文件,接受用户名和密码作为命
: 令行参数。
: 现在公司的安全规章要做调整,要求密码必须从其他来源获取,用户不能够知道并手工
: 输入密码。我的打算是用另外加一个公司自己开发的程序B,譬如用C#的System.
: Diagnostics.Process class, 在这个程序B里执行A.exe 并且加上 和 <
: password>作为参数 - 其实就是用自己的程序来执行命令行以启动程序A.
: 我的问题是,在这种情况下,用户能不能通过其他方式从系统中知道用什么参数执行了
: 程序A(密码在参数中),从而恶意获取密码?
|
J********e
发帖数: 2284 | 3 多谢指出这个问题!
好像"show command line"是从Vista开始才有的新功能。如果我限制这个程序只支持在
XP下运行,是不是就可以了?
另外一个方法是,程序A也有一个GUI登录界面允许用户输入密码,如果我用程序B启动
程序A,然后程序B用SendMessage的方式向程序A发消息以模拟用户输入密码。这个办法
是不是安全就没有大问题了?
【在 X****r 的大作中提到】
: Windows Task Manager -> "Processes" tab -> "View" menu
: -> "Select columns..." menu item -> "Command Line" checkbox
: -> "Ok" button
:
: :
|
p***o
发帖数: 1252 | 4
你没法改A,那么这些都是掩耳盗铃的做法,总能绕过去。
不过估计老板也不懂,你糊弄糊弄就过去了。
【在 J********e 的大作中提到】
: 多谢指出这个问题!
: 好像"show command line"是从Vista开始才有的新功能。如果我限制这个程序只支持在
: XP下运行,是不是就可以了?
: 另外一个方法是,程序A也有一个GUI登录界面允许用户输入密码,如果我用程序B启动
: 程序A,然后程序B用SendMessage的方式向程序A发消息以模拟用户输入密码。这个办法
: 是不是安全就没有大问题了?
|
