I denne artikkelen ser vi på sårbarhetene knyttet til aktivering av SQL Mail og ser på måter å omgå slike sikkerhetsproblemer
For SQL-brukere er det mulig å aktivere en e-postdatabase for å svare på databaseforespørsler, siden spørringene håndteres av selve databasen. Et minimumskrav for å aktivere en e-postdatabase i applikasjonen er imidlertid å kjøre SQL Server med en domenekonto som har tilgang til lokale administratorrettigheter. En av ulempene med å bruke postaktiverte SQL-databaser er imidlertid at hvem som helst kan be om data, med forbehold om innførte restriksjoner, fra systemet i form av en spørring, og vil få informasjonen. Derfor er det viktig å begrense mengden data som kan innhentes. En annen viktig ting å merke seg om denne funksjonen er at Query betyr ikke bare en leseforespørsel, men enhver legitim SQL-setning.
Få av Most Vanlige sårbarheter møtt inn SQL Server
- Siden den ikke bare betrakter en spørring som en skrivebeskyttet forespørsel, men en gyldig SQL-setning, kan en bruker ikke bare bruke den til å skaffe informasjon, men også for å behandle innsetting, oppdatering, sletting av kommandoer og opprettelse og modifisering av objekter.
- Funksjonens svar-til-sender-tilnærming gjør ikke noe forsøk på å verifisere forespørren eller til og med se etter nødvendig autorisasjon. Du kan imidlertid forhindre at dette skjer ved å aktivere autentiserings- og autorisasjonssjekker for SQL-e-postspørringer, men dette garanterer fortsatt ingen integritet eller konfidensialitet.
- Sikkerheten til funksjonen er dårlig håndtert, og er fullstendig basert på uvitenhet om inntrengeren. Derfor kan en intelligent inntrenger, med den helt grunnleggende kunnskapen om e-postkontoene, sende en spørring som skal implementeres i tarfå database.
Hvordan kan du beholde SQL Server E-postsårbarheter ved Bay
Som allerede nevnt, er sikkerheten til funksjonen dårlig håndtert, og basert på uvitenhet om angriperen, kan brukeren bokstavelig talt håpe at angriperen ikke er klar over systemsårbarheter. Det slutter ikke bare her, det er mye mer brukeren bare kan ønske seg – angriperen kjenner ikke til de implementerte og sårbare databasene, kontoen som kan brukes til å sette opp spørringer osv. Alle barrierene for sårbarheter ved postdatabasefunksjonen stammer fra hvor uvitende angriperen er. Et av de foreslåtte tipsene for å beskytte e-postdatabasen mot uautorisert tilgang ville være å ikke ha virkelig åpenbare navn for kontoene som brukes. Angripere kan ganske enkelt gjette de privilegerte kontoene hvis de er for åpenbare. En annen ting å huske på er, hvis du gjør flere databaser e-post aktivert; legge til separate kontoer for hver database. Sist men ikke minst hold en SQL Server fikse verktøy praktisk å håndtere hendelser med datakorrupsjon.
Et forsiktig ord
SQL-injeksjon er en annen vanlig teknikk som brukes av hackere for å få tilgang til databasen, den bruker en prøv-og-feil-metode, ved å bruke nettadresser for å introdusere modifikasjoner, og deretter få tilgang til databasen. SQL Mail-database sammenlignet med SQL-injeksjoner er lettere å knekke, og foretrekkes mer av angriperne, den er ikke så intensiv og tidkrevende som SQL-injeksjoner, sørg derfor alltid for at kontoene dine er beskyttet og brukerautentisering og autorisasjon er aktivert for funksjonen.
Forfatterintroduksjon:
Victor Simon er president og styreleder i DataNumen, Inc., som er verdensledende innen datagjenopprettingsteknologier, inkludert reparere accdb korrupsjon og sql-programvareprodukter. For mer informasjon besøk www.datanumen. Med