[Java] plugin jak zabezpieczyć komendy

[Mr.Misiek]

Witam napisałem plugin i teraz mam problem a dokładniej nie chce aby ktoś edytował plugin i poznał komendy a więc przyszło mi na myśl aby komendy byly odczytywane w MD5 ( Komenda NP : /siema nie była if (commandLabel.equalsIgnoreCase("Siema")) {

tylko if (commandLabel.equalsIgnoreCase("MD5")) { )

Prosze o pomoc

 

Chodzi o Minecraft - Bukkit

[Pan Marcel]

        final String cmd = "09492b40f9f9ebe421722fa7b7634c9d" // "command1"

        ...
	if (toMD5(commandLabel).equals(cmd)) {
                         . . .
                }
        ...

        private String toMD5(String s) throws Exception {
		MessageDigest md5 = MessageDigest.getInstance("MD5");
		md5.update(s.getBytes());
		byte[] digest = md5.digest();
		StringBuffer hexString = new StringBuffer();
		for (int i = 0; i < digest.length; i++) {
			hexString.append(Integer.toHexString(0xFF & digest[i] | 0x100).substring(1, 3));
		}
		String md5_string = hexString.toString();
		return md5_string;
	}

 

 

 

o takie cos ci chodzi?

[Gość]

Trzaśnij jakiś obfuskator + Allatori string encrypt i będzie git.

 

Bo jak zrobisz metode dekodującą md5 w swoim kodzie to do dupy będzie

[Heniut]

povskill md5 sie nie dekoduje 0_o

 

Jest to dobre zabezpieczenie tylko wybierz komendy powyżej 10 znaków wtedy nie powinien nikt złamać

[Gość]

povskill md5 sie nie dekoduje 0_o

 

Jest to dobre zabezpieczenie tylko wybierz komendy powyżej 10 znaków wtedy nie powinien nikt złamać

O lol fakt.

 

Ale i tak obfuskatora musi trzasnąć bo ktoś moze sobie poprostu zamienić tego stringa lol.

[Mr.Misiek]

owszem ale jest problem ponieważ to jest plugin ( Fake Plugin ) wywalajacy z FTP pliki i musze go wysłać do ofiary aby to wgrała i ja jedna komende wpisze ale wtedy jak on bedzie ogarniety to uzyje descryptera i ma mój plugin ...

[Gość]

owszem ale jest problem ponieważ to jest plugin ( Fake Plugin ) wywalajacy z FTP pliki i musze go wysłać do ofiary aby to wgrała i ja jedna komende wpisze ale wtedy jak on bedzie ogarniety to uzyje descryptera i ma mój plugin ...

To sprawdzaj komendy przez http i łąduj klasy też przez http wtedy możesz ukryć gdzieś częśc kodu

[piotrek54PL]

To sprawdzaj komendy przez http i łąduj klasy też przez http wtedy możesz ukryć gdzieś częśc kodu

To po zdekompilowaniu wejdzie pod link w kodzie i zobaczy komendę

 

Wg. mnie wystarczy zwykły obfuscator i nikt nie odczyta https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&ie=UTF-8#safe=off&output=search&sclient=psy-ab&q=java%20obfuscator&oq=&gs_l=&pbx=1&fp=2a488c3b126d90e2&ion=1&bav=on.2,or.r_cp.r_qf.&bvm=bv.45373924,d.ZWU&biw=1280&bih=909

[Gość]

To po zdekompilowaniu wejdzie pod link w kodzie i zobaczy komendę

 

Wg. mnie wystarczy zwykły obfuscator i nikt nie odczyta https://www.google.pl/webhp?sourceid=chrome-instant&ion=1&ie=UTF-8#safe=off&output=search&sclient=psy-ab&q=java%20obfuscator&oq=&gs_l=&pbx=1&fp=2a488c3b126d90e2&ion=1&bav=on.2,or.r_cp.r_qf.&bvm=bv.45373924,d.ZWU&biw=1280&bih=909

lul nie wypowiadaj się prosze

Nie tak że masz plik tekstowy pod linkiem

Dalesz classloader i ładujesz klase. Poźniej metody wywołujesz przez clazz.getmethod.invoke

+ obfuskacja co napisałem na początku. Allatori ma s​tring obfuscation.

 

TAK CZY TAK, i tak jakbyś użył tego wszystkiego to JA bym to tak czy tak odczytał, z tym, że ja się na tym znam więc jakąś grupę osób możesz wyeliminować.

Oczywiście jak chcesz mozesz jeszcze sprawdzać komendy przez server ---> client żeby całkiem się zabezpieczyć

Czyli

Client wysyła prośbe o realizacji x do servera ----> server sprawdza czy x istnieje i wysyła odpowiedź ----> client robi to co server mu powie. I szlus