Në këtë artikull ne shikojmë dobësitë që lidhen me aktivizimin e SQL Mail dhe shikojmë mënyrat për të punuar rreth çështjeve të tilla të sigurisë
Për përdoruesit e SQL, aktivizimi i një baze të dhënash me email për t'iu përgjigjur pyetjeve të bazës së të dhënave është i mundur, pasi pyetjet trajtohen nga vetë baza e të dhënave. Megjithatë, një kërkesë minimale për aktivizimin e një baze të dhënash emaili në aplikacion është të ekzekutohet SQL Server me një llogari domeni që ka akses në privilegjet e administratorit lokal. Megjithatë, një nga të metat e përdorimit të bazave të të dhënave SQL të aktivizuara me postë është se çdokush mund të kërkojë të dhëna, duke iu nënshtruar kufizimeve të vendosura, nga sistemi në formën e një pyetjeje dhe do të marrë informacionin. Prandaj, kufizimi i sasisë së të dhënave që mund të merren është i rëndësishëm. Një tjetër gjë e rëndësishme për t'u theksuar në lidhje me këtë veçori është se, Query nuk do të thotë vetëm një kërkesë vetëm për lexim, por çdo deklaratë legjitime SQL.
Pak nga Most Dobësitë e zakonshme me të cilat përballen SQL Server
- Meqenëse nuk e konsideron vetëm një pyetje si një kërkesë vetëm për lexim, por një deklaratë të vlefshme SQL, një përdorues mund ta përdorë atë jo vetëm për marrjen e informacionit, por edhe për përpunimin e inserteve, përditësimin, fshirjen e komandave dhe krijimin dhe modifikimin e objekteve.
- Qasja përgjigje ndaj dërguesit të veçorisë nuk bën asnjë përpjekje për të verifikuar kërkuesin apo edhe për të kontrolluar për autorizimin e nevojshëm. Megjithatë, mund ta parandaloni që kjo të ndodhë duke aktivizuar kontrollet e vërtetimit dhe autorizimit për pyetjen e postës SQL, por kjo ende nuk do të garantojë asnjë integritet ose konfidencialitet.
- Siguria e veçorisë trajtohet keq dhe bazohet tërësisht në injorancën e ndërhyrësit. Prandaj, një ndërhyrës inteligjent, me njohuri shumë bazë të llogarive të postës, mund të dërgojë një pyetje për t'u zbatuar në tarmerrni bazën e të dhënave.
Si mund ta ruani SQL Server Dobësitë e postës elektronike në Bay
Siç u përmend tashmë, siguria e funksionit trajtohet keq dhe bazuar në injorancën e sulmuesit, përdoruesi mund të shpresojë fjalë për fjalë se sulmuesi nuk është i vetëdijshëm për dobësitë e sistemit. Nuk mbaron vetëm këtu, ka shumë më tepër që përdoruesi mund të dëshirojë vetëm – sulmuesi nuk di për bazat e të dhënave të implementuara dhe të cenueshme, llogarinë që mund të përdoret për vendosjen e pyetjeve etj. Të gjitha barrierat ndaj dobësive të Tipari i bazës së të dhënave të postës buron nga fakti se sa i pavetëdijshëm është sulmuesi. Një nga këshillat e sugjeruara për të mbrojtur bazën e të dhënave të postës nga qasja e paautorizuar do të ishte të mos kishte emra vërtet të qartë për llogaritë e përdorura. Sulmuesit thjesht mund të marrin me mend llogaritë e privilegjuara nëse ato janë shumë të dukshme. Një tjetër gjë për t'u mbajtur parasysh është, nëse jeni duke aktivizuar postën e shumëfishtë të të dhënave; shtoni llogari të veçanta për secilën bazë të dhënash. E fundit por jo më e rëndësishmja mbani një SQL Server mjet rregullimi i dobishëm për t'u marrë me incidentet e korrupsionit të të dhënave.
Një Fjalë e Kujdesit
Injeksioni SQL është një teknikë tjetër e zakonshme e përdorur nga hakerat për të hyrë në bazën e të dhënave, ai përdor një metodë prove dhe gabimi, duke përdorur URL-të e uebit për të futur modifikime dhe më pas për të fituar akses në bazën e të dhënave. Baza e të dhënave SQL Mail në krahasim me injeksionet SQL është më e lehtë për t'u goditur dhe e preferuar më shumë nga sulmuesit, nuk është aq intensive dhe kërkon kohë sa injeksionet SQL, prandaj sigurohuni gjithmonë që llogaritë tuaja të mbrohen dhe vërtetimi dhe autorizimi i përdoruesit të aktivizohen për këtë veçori.
Hyrje e autorit:
Victor Simon është President dhe Kryetar i DataNumen, Inc., e cila është lider botëror në teknologjitë e rikuperimit të të dhënave, duke përfshirë riparimi i korrupsionit accdb dhe produkte softuerike për rikuperimin sql. Për më shumë informacion vizitoni www.datanumen.com