Selles artiklis vaatleme SQL Maili lubamisega seotud haavatavusi ja võimalusi selliste turvaprobleemide lahendamiseks.
SQL-i kasutajatel on andmebaasipäringutele vastamiseks võimalik e-posti andmebaasi lubamine, kuna päringuid käsitleb andmebaas ise. Rakenduses e-posti andmebaasi aktiveerimise miinimumnõue on aga käivitamine SQL Server domeenikontoga, millel on juurdepääs kohalikele administraatoriõigustele. Kuid üks e-postiga aktiveeritud SQL-andmebaaside kasutamise puudusi on see, et igaüks saab vastavalt kehtestatud piirangutele süsteemist päringu vormis andmeid küsida ja saada teavet. Seetõttu on oluline piirata saadavate andmete hulka. Veel üks oluline asi, mida selle funktsiooni puhul märkida, on see, et päring ei tähenda ainult lugemiseks mõeldud taotlust, vaid mis tahes õigustatud SQL-lauset.
Vähesed Most Levinud haavatavused SQL Server
- Kuna see ei käsitle päringut ainult kirjutuskaitstud päringuna, vaid kehtiva SQL-lausena, saab kasutaja seda kasutada mitte ainult teabe hankimiseks, vaid ka sisestuse töötlemiseks, värskendamiseks, käskude kustutamiseks ning objektide loomiseks ja muutmiseks.
- Funktsiooni vastus saatjale lähenemine ei püüa taotlejat kontrollida ega isegi vajalikku volitust kontrollida. Siiski saate seda vältida, lubades SQL-i päringu autentimise ja autoriseerimise kontrolli, kuid see ei taga siiski terviklikkust ega konfidentsiaalsust.
- Funktsiooni turvalisus on halvasti käsitletud ja põhineb täielikult sissetungija teadmatusel. Seetõttu saab intelligentne sissetungija, kellel on väga algteadmised meilikontode kohta, saata päringu, mida rakendatakse tarhankige andmebaas.
Kuidas saate hoida SQL Server Meilide haavatavused Bays
Nagu juba mainitud, on funktsiooni turvalisus halvasti käsitletud ja ründaja teadmatuse tõttu võib kasutaja sõna otseses mõttes loota, et ründaja pole süsteemi haavatavustest teadlik. See ei lõpe siin, kasutajal on palju enamat, mida saab vaid soovida – ründaja ei tea juurutatud ja haavatavaid andmebaase, päringute tegemiseks kasutatavat kontot jne. Kõik tõkked turvaaukudele e-posti andmebaasi funktsioon tuleneb sellest, kui teadlik ründaja on. Üks soovituslikest näpunäidetest meiliandmebaasi kaitsmiseks volitamata juurdepääsu eest on see, et kasutatavate kontode jaoks ei tohiks olla ilmseid nimesid. Ründajad võivad privilegeeritud kontod lihtsalt ära arvata, kui need on liiga ilmsed. Veel üks asi, mida meeles pidada, on see, kui muudate mitme andmebaasi posti lubamiseks; lisage iga andmebaasi jaoks eraldi kontod. Viimaseks, kuid mitte vähemtähtsaks, hoia a SQL Server parandustööriist mugav andmete riknemise juhtumite lahendamiseks.
Ettevaatust sõna
SQL-i süstimine on teine levinud tehnika, mida häkkerid andmebaasile juurdepääsu saamiseks kasutavad. See kasutab katse-eksituse meetodit, kasutades muudatuste tegemiseks veebi-URL-e ja seejärel juurdepääsu andmebaasile. Võrreldes SQL-i süstidega on SQL Maili andmebaasi lihtsam murda ja ründajad eelistavad seda rohkem, see pole nii intensiivne ja aeganõudev kui SQL-i süstimine, seetõttu veenduge alati, et teie kontod on kaitstud ning kasutaja autentimine ja autoriseerimine on funktsiooni jaoks lubatud.
Autori sissejuhatus:
Victor Simon on ühingu president ja esimees DataNumen, Inc., mis on maailmas juhtiv andmete taastamise tehnoloogiate, sealhulgas accdb korruptsiooni parandamine ja SQL-i taastamise tarkvaratooted. Lisateabe saamiseks külastage www.datanumenCom