Bu Jar Güvenli Mi Nerden Bileceğiz?
-
Selamlar,
Aşağıdaki jar'ı kurumsal bir uygulamada kullanacağım. Eğer free formatı işimi görürse full'ünü de satın alacağız.
Jar'ın amacı: Excel'i Image dosyasına convert ediyor.
Ancak bu jar güvenli mi gerçekten? Belki bizim excel dosyasını kendine alıyor save ediyor sonra bize export ediyordur.
Bu bizim için iyi olmaz mesela. Ama yapıp yapmadığını nerden bileceğim? Koda bakarak anlayacağımı da sanmam hangi birine bakacağız?
Uygulama içinde data transfer yapılıyor mu gibi bi şeyi tespit etme şansı var mı acaba?
Nasıl yaklaşmak lazım?
https://www.e-iceblue.com/Download/xls-for-java-free.html
-
Hocam bu işler için ben sunucu içerisine sanal bir alan yaratıyorum 3rd extensions diye. Bir sıkıntı olursa oraya oluyor zaten onun da internetini kapatıyorum dışarıya sadece localden erişiyorum. OpenCV için bir takım kütüphaneelr kullanıyorum ücretli normalde bunların free versiyonunu bulmuştum hepsi belirttiğim sanal alanda duruyor.
-
Abi sen bankada çalışmıyor musun? Sizin güvenlik birimine sorsan, mesela biz tüm bu tür sistemleri whitebox(kaynak kodu varsa) blackbox tarafamalardan geçiriliyor, farklı yöntemlerle network iletişimlerini varsa dış çağrılarını her şeyi döküyorlar.
birde bir çok tarama uygulaması bu tür dll imzalarına adlarına tipleri vs bakıp bir veri tabanıyla karşılaştırıp sana yorum dönüyor. Özetle sor bilgi güvenliğine.
alternatif olarak ürünün kurumsal versiyonunu satan firmaya kaynak tarama sonuçlarını sorabilirsin. 3. Parti bir firmaya yaptırmışlarsa paylaşıyorlar
-
En güvenilir yol kodları kontrol etmek ve debug yapmak.
jd-gui gibi bir tool ile bytecode ları .java'ya çevir. Manifest.mf dosyasında başlangıç prosedürünü gösterir zaten.
Sonrasında IntelliJ IDEA veya diğerleri gibi bir editörde adım adım debug çalıştır.
Nerede ne yapıyor görürsün. -
sandman bunu yazdı
Abi sen bankada çalışmıyor musun? Sizin güvenlik birimine sorsan, mesela biz tüm bu tür sistemleri whitebox(kaynak kodu varsa) blackbox tarafamalardan geçiriliyor, farklı yöntemlerle network iletişimlerini varsa dış çağrılarını her şeyi döküyorlar.
birde bir çok tarama uygulaması bu tür dll imzalarına adlarına tipleri vs bakıp bir veri tabanıyla karşılaştırıp sana yorum dönüyor. Özetle sor bilgi güvenliğine.
alternatif olarak ürünün kurumsal versiyonunu satan firmaya kaynak tarama sonuçlarını sorabilirsin. 3. Parti bir firmaya yaptırmışlarsa paylaşıyorlar
Hocam bankada çalışmıyorum ama şöyle düşün birine şu şöyle olur mu diyorsun adamın elinde zaten bin tane iş var güvenlik ekibi de olsa başka yöntem bulun diyecek.
Benim teyitle gitmem iyi oluyor genelde. Yoksa o taraflara da sorduruyorum.
-
Tertemiz gereksiz servisler kapali bir windows yaratip, wireshark ile programi kullanirken neler oluyor bakmak en temizi sanirim senin durumunda. Program islem yaparken networke cikip, paket vs yolluyor mu izlersen fikir verecektir
-
Vmware indir kur ne istiyorsan sistem, donanımlarından ethcard ı da silersin yanlışlığa mahal vermeme adına, istediğin gibi at koşturursun. Dışarıya biyere ulaşmaya çalışıyor mu görmek için de wireshark dan bakarsın. | Vmware tarafı için yardım lazım olursa yardımcı olurum fakat wireshark için bilgim yok denecek kadar az.