Šajā rakstā mēs aplūkojam ievainojamības, kas saistītas ar SQL Mail iespējošanu, un aplūkojam veidus, kā novērst šādas drošības problēmas
SQL lietotājiem ir iespējams iespējot e-pasta datu bāzi, lai atbildētu uz datu bāzes vaicājumiem, jo vaicājumus apstrādā pati datu bāze. Tomēr ir jāizpilda minimālā prasība e-pasta datu bāzes aktivizēšanai lietojumprogrammā SQL Server ar domēna kontu, kuram ir piekļuve vietējā administratora privilēģijām. Tomēr viens no ar pastu aktivizēto SQL datu bāzu izmantošanas trūkumiem ir tas, ka ikviens var pieprasīt datus no sistēmas vaicājuma formā, ievērojot ieviestos ierobežojumus, un saņems informāciju. Tāpēc ir svarīgi ierobežot iegūstamo datu apjomu. Vēl viena svarīga lieta, kas jāņem vērā par šo funkciju, ir tas, ka vaicājums nenozīmē tikai lasīšanas pieprasījumu, bet jebkuru likumīgu SQL priekšrakstu.
Maz no Most Kopējās ievainojamības, ar kurām saskaras SQL Server
- Tā kā vaicājumu ne tikai uzskata par tikai lasīšanas pieprasījumu, bet arī par derīgu SQL priekšrakstu, lietotājs to var izmantot ne tikai informācijas iegūšanai, bet arī ieliktņu apstrādei, komandu atjaunināšanai, dzēšanai un objektu izveidošanai un modificēšanai.
- Funkcijas atbilde uz sūtītāju pieeja nemēģina pārbaudīt pieprasītāju vai pat pārbaudīt nepieciešamo autorizāciju. Tomēr to var novērst, iespējojot autentifikāciju un autorizācijas pārbaudes SQL pasta vaicājumam, taču tas joprojām negarantēs integritāti vai konfidencialitāti.
- Funkcijas drošība tiek slikti apstrādāta, un tās pamatā pilnībā ir iebrucēja nezināšana. Tāpēc inteliģents iebrucējs, kuram ir ļoti pamatzināšanas par pasta kontiem, var nosūtīt vaicājumu, kas jāievieš sistēmā tariegūt datu bāzi.
Kā jūs varat saglabāt SQL Server E-pasta ievainojamība līcī
Kā jau minēts, ar funkcijas drošību tiek galā slikti, un, pamatojoties uz uzbrucēja nezināšanu, lietotājs var burtiski cerēt, ka uzbrucējs nezina par sistēmas ievainojamību. Tas ne tikai beidzas šeit, bet ir daudz vairāk, ko lietotājs var tikai vēlēties - uzbrucējs nezina par ieviestajām un neaizsargātajām datu bāzēm, kontu, kuru var izmantot vaicājumu ievietošanai utt. Visi šķēršļi, kas kavē pasta datu bāzes funkcija izriet no tā, cik uzbrucējs nezina. Viens no ieteiktajiem padomiem, kā pasargāt pasta datu bāzi no nesankcionētas piekļuves, būtu tas, ka izmantotajiem kontiem nav īsti acīmredzamu nosaukumu. Uzbrucēji var vienkārši uzminēt privileģētos kontus, ja tie ir pārāk acīmredzami. Vēl viena lieta, kas jāpatur prātā, ir tas, ka jūs iespējojat vairākas datu bāzes pasta sūtījumus; katrai datu bāzei pievienojiet atsevišķus kontus. Visbeidzot, bet ne mazāk svarīgi saglabāt SQL Server labošanas rīks ērts, lai tiktu galā ar datu korupcijas gadījumiem.
Brīdinājuma vārds
SQL injekcija ir vēl viena izplatīta metode, ko hakeri izmanto, lai piekļūtu datu bāzei. Tajā tiek izmantota izmēģinājumu un kļūdu metode, izmantojot tīmekļa vietrāžus URL, lai ieviestu modifikācijas un pēc tam piekļūtu datu bāzei. SQL Mail datu bāzi, salīdzinot ar SQL injekcijām, ir vieglāk uzlauzt, un uzbrucēji dod priekšroku vairāk, tā nav tik intensīva un laikietilpīga kā SQL injekcijas, tāpēc vienmēr pārliecinieties, ka jūsu konti ir aizsargāti, kā arī funkcijai ir iespējota lietotāju autentifikācija un autorizācija.
Autora ievads:
Viktors Simons ir grupas priekšsēdētājs un priekšsēdētājs DataNumen, Inc., kas ir pasaules līderis datu atkopšanas tehnoloģiju, tostarp labot accdb korupciju un SQL atkopšanas programmatūras produkti. Lai iegūtu vairāk informācijas, apmeklējiet vietni www.datanumen. Ar