V tomto článku sa venujeme slabým miestam spojeným s povolením SQL Mail a spôsobom, ako tieto problémy so zabezpečením obísť
Pre používateľov SQL je povolenie e-mailovej databázy na odpovedanie na databázové dotazy možné, pretože dotazy spracúva samotná databáza. Minimálna požiadavka na aktiváciu e-mailovej databázy v aplikácii je však spustená SQL Server s doménovým účtom majúcim prístup k miestnym oprávneniam správcu. Jednou z nevýhod používania poštou aktivovaných databáz SQL je však to, že ktokoľvek môže zo systému požadovať údaje, s výhradou zavedených obmedzení, vo forme dotazu a tieto informácie získa. Preto je dôležité obmedziť množstvo dát, ktoré je možné získať. Ďalšou dôležitou vecou, ktorú je potrebné o tejto funkcii poznamenať, je, že dotaz neznamená iba požiadavku iba na čítanie, ale akýkoľvek legitímny príkaz SQL.
Len málo z Most Spoločná zraniteľnosť, ktorej čelia SQL Server
- Pretože dopyt nepovažuje iba za požiadavku iba na čítanie, ale aj za platný príkaz SQL, môže ho používateľ použiť nielen na získanie informácií, ale aj na spracovanie vkladania, aktualizáciu, mazanie príkazov a vytváranie a úpravu objektov.
- Prístup funkcie odosielateľa k odpovedi sa nepokúša overiť žiadateľa alebo dokonca skontrolovať potrebné oprávnenie. Tomu však môžete zabrániť tak, že povolíte kontroly autentifikácie a autorizácie pre dotaz pošty SQL, ale to stále nezaručuje integritu alebo dôvernosť.
- Zabezpečenie objektu je zle spracované a je založené výlučne na neznalosti votrelca. Preto môže inteligentný votrelec so základnými znalosťami poštových účtov poslať dopyt, ktorý sa má implementovať v systéme Windows tarzískať databázu.
Ako si môžete ponechať SQL Server Pošlite e-mailom chyby v zálive
Ako už bolo spomenuté, bezpečnosť funkcie je zle spracovaná a na základe neznalosti útočníka môže užívateľ doslova dúfať, že útočník nevie o zraniteľnostiach systému. Tým to nekončí, užívateľ si môže len želať - útočník nevie o implementovaných a zraniteľných databázach, o účte, ktorý je možné použiť na zadávanie dotazov, atď. Všetky bariéry zraniteľnosti servera funkcia poštovej databázy vyplýva z toho, ako veľmi si útočník neuvedomuje. Jedným z navrhovaných tipov na ochranu poštovej databázy pred neoprávneným prístupom by bolo nebyť skutočne zrejmých názvov použitých účtov. Útočníci môžu jednoducho hádať privilegované účty, ak sú príliš zrejmé. Ďalšia vec, ktorú treba mať na pamäti, je, že ak sprístupňujete poštu vo viacerých databázach; pridať samostatné účty pre každú databázu. V neposlednom rade si ponechajte a SQL Server opravný nástroj užitočné zaoberať sa prípadmi poškodenia údajov.
Slovo opatrnosti
Injekcia SQL je ďalšou bežnou technikou, ktorú hackeri používajú na získanie prístupu do databázy. Využíva metódu pokus-omyl, na vykonanie úprav webové adresy URL a následný prístup k databáze. Databáza SQL Mail je v porovnaní s injekciami SQL ľahšie prelomiteľná a útočníci ju uprednostňujú skôr, pretože nie je taká intenzívna a časovo náročná ako injekcie SQL, preto sa vždy uistite, že sú vaše účty chránené a pre túto funkciu je povolené overenie a autorizácia používateľa.
Úvod autora:
Victor Simon je prezidentom a predsedom predstavenstva DataNumen, Inc., ktorá je svetovým lídrom v oblasti technológií obnovy dát, vrátane opraviť korupciu accdb a softvérové produkty na obnovenie sql. Pre viac informácií navštívte www.datanumen. S