In dit artikel kijken we naar de kwetsbaarheden die samenhangen met het inschakelen van SQL Mail en naar manieren om dergelijke beveiligingsproblemen te omzeilen
Voor SQL-gebruikers is het mogelijk om een e-maildatabase in te schakelen voor het beantwoorden van databasequery's, aangezien query's door de database zelf worden afgehandeld. Een minimumvereiste voor het activeren van een e-maildatabase in de applicatie is echter om te draaien SQL Server met een domeinaccount dat toegang heeft tot lokale beheerdersrechten. Een van de nadelen van het gebruik van door e-mail geactiveerde SQL-databases is echter dat iedereen, onder voorbehoud van ingestelde beperkingen, gegevens van het systeem kan opvragen in de vorm van een query, en de informatie zal krijgen. Daarom is het belangrijk om de hoeveelheid gegevens die kan worden verkregen te beperken. Een ander belangrijk ding om op te merken over deze functie is dat Query niet alleen een alleen-lezen verzoek betekent, maar elke legitieme SQL-instructie.
Enkele van henost Veelvoorkomende kwetsbaarheden in SQL Server
- Aangezien het een query niet alleen beschouwt als een alleen-lezen verzoek, maar als een geldig SQL-statement, kan een gebruiker het niet alleen gebruiken voor het verkrijgen van informatie, maar ook voor het verwerken van invoegopdrachten, bijwerken, verwijderen van opdrachten en het maken en wijzigen van objecten.
- De reply-to-sender-benadering van de functie doet geen enkele poging om de aanvrager te verifiëren of zelfs maar te controleren op de benodigde autorisatie. U kunt dit echter voorkomen door authenticatie- en autorisatiecontroles voor SQL-mailquery's in te schakelen, maar dit garandeert nog steeds geen integriteit of vertrouwelijkheid.
- De beveiliging van de functie wordt slecht behandeld en is volledig gebaseerd op onwetendheid van de indringer. Daarom kan een intelligente indringer, met de basiskennis van de e-mailaccounts, een query sturen die in de e-mailaccounts moet worden geïmplementeerd tarkrijg database.
Hoe kun je de SQL Server E-mailkwetsbaarheden bij Bay
Zoals eerder vermeld, wordt de beveiliging van de functie slecht behandeld en op basis van onwetendheid van de aanvaller kan de gebruiker letterlijk hopen dat de aanvaller zich niet bewust is van systeemkwetsbaarheden. Hier houdt het niet alleen op, er is nog veel meer dat de gebruiker alleen maar kan wensen – de aanvaller kent de geïmplementeerde en kwetsbare databases niet, het account dat kan worden gebruikt voor het plaatsen van zoekopdrachten enz. Alle belemmeringen voor kwetsbaarheden van de e-maildatabase-functie komt voort uit hoe onwetend de aanvaller is. Een van de voorgestelde tips om de e-maildatabase te beschermen tegen ongeoorloofde toegang, zou zijn om niet echt voor de hand liggende namen te hebben voor de gebruikte accounts. Aanvallers kunnen de geprivilegieerde accounts eenvoudig raden als ze te voor de hand liggend zijn. Een ander ding om in gedachten te houden is, als u meerdere databases mail ingeschakeld maakt; voeg afzonderlijke accounts toe voor elke database. Last but not least, houd een SQL Server reparatie tool handig om incidenten van datacorruptie op te lossen.
Een woord van waarschuwing
SQL-injectie is een andere veelgebruikte techniek die door hackers wordt gebruikt om toegang tot de database te krijgen. Het maakt gebruik van een trial-and-error-methode, door web-URL's te gebruiken om wijzigingen aan te brengen en vervolgens toegang te krijgen tot de database. SQL Mail-database is in vergelijking met SQL-injecties gemakkelijker te kraken en heeft meer de voorkeur van aanvallers. Het is niet zo intensief en tijdrovend als SQL-injecties. Zorg er daarom altijd voor dat uw accounts worden beschermd en dat gebruikersauthenticatie en -autorisatie is ingeschakeld voor de functie.
Auteur Introductie:
Victor Simon is president en voorzitter van DataNumen, Inc., de wereldleider in technologieën voor gegevensherstel, waaronder herstel accdb-corruptie en sql-herstelsoftwareproducten. Voor meer informatie bezoek www.datanumen.com