SQL Server密碼管理的六個危險判斷

来源:http://www.cnblogs.com/aspnetjia/archive/2016/02/14/5189587.html
-Advertisement-
Play Games

當管理SQL Server內在的帳戶和密碼時,我們很容易認為這一切都相當的安全。但實際上並非如此。在這裡,我們列出了一些對於SQL Server密碼來說非常危險的判斷。 當管理SQL Server內在的帳戶和密碼時,我們很容易認為這一切都相當的安全。畢竟,你的SQL Server系統被保護在防火牆裡


當管理SQL Server內在的帳戶和密碼時,我們很容易認為這一切都相當的安全。但實際上並非如此。在這裡,我們列出了一些對於SQL Server密碼來說非常危險的判斷。 

  當管理SQL Server內在的帳戶和密碼時,我們很容易認為這一切都相當的安全。畢竟,你的SQL Server系統被保護在防火牆裡,而且還有Windows身份驗證的保護,所有用戶都需要密碼才能進入。這聽起來非常的安全,特別是當你認為所有人都這麼做的時候。可實際上,它並不像我們想象得那麼安全。 

  在這裡,我們列出了一些對於SQL Server密碼來說非常危險的判斷: 

  密碼測試無需計劃 

  當進行測試時,直接就開始嘗試破解密碼將是一個很大的錯誤。無論你是在本地還是通過互聯網進行測試,我都強烈建議你獲得許可權,並建議一個帳戶被鎖定後的回滾方案。最後你要做的就是確保在賬戶被鎖定時,資料庫用戶無法進行操作,而且與之相連的應用程式也將無法正常運行。 

  通過互聯網,密碼仍然是安全的 

  對於通過混合方式實現的SQL Server,你可以很容易的通過一些分析軟體(比如OmniPeek、Ethereal)立刻從網上抓到它的密碼。同時,Cain and Abel可以用來抓取基於TDS的密碼。你可能以為通過內網交換機就可以避免這一問題?然而,Cain的ARP中毒路由功能就可以很輕鬆的破解它。在大約一分鐘之內,這個免費軟體就可以攻破你的交換機,並看到本地網路的內部數據交換,從而幫助其它軟體更容易的抓取密碼。 

  事實上,問題並沒有就此結束。有些誤解認為在SQL Server中使用Windows身份驗證是很安全的。然而,事實並非如此。上述軟體同樣可以迅速的從網上抓到Windows、Web、電子郵件等相關的密碼,從而獲得SQL Server的訪問許可權。 

  通過使用密碼政策,我們就可以不用測試密碼 

  無論你的密碼政策有多嚴厲,卻總會有一些辦法可以繞開它。比如現在有一個未進行配置的伺服器、一個Windows域外的主機、一個未知的SQL Server或者一些特殊的工具,它們可以破解最強壯的密碼。這些東西就可以利用你密碼的弱點並是你的代碼政策變得無效 

  另外,同樣重要的是,有些測試結果可能會說由於你的密碼已經非常強壯,你的資料庫很安全,但你千萬不要輕信。一定要自己在測試並驗證一下,密碼缺陷是否還在。儘管你可能會覺得一切都很好,但實際上你可能落掉了一些東西。 

  既然SQL Server密碼是不可重獲的,那如果我知道他很強壯、很安全,我有為什麼要破解他呢? 

  事實上,SQL Server的密碼是可以重獲的。在SQL Server 7和SQL Server 2000中,你可以使用像Cain and Abel或者收費的NGSSQLCrack這種工具來獲得密碼哈希表,而後通過暴力對其破解進行攻擊。這些工具使你可以對SQL Server密碼SHA哈希表進行反向工程。儘管破解的結果並不能夠保證,但它確實是SQL Server的一個弱點。 

  我使用MBSA檢查過SQL Server密碼的缺陷,並沒有發現什麼嚴重的問題 

  Microsoft Baseline Security Analyzer是一個用來根除SQL Server弱點的工具,但他並不完善,特別是在密碼破解方面。對於深層的SQL Server和Windows密碼破解,我們需要使用第三方軟體,如免費的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密碼破解工具,如ElcomSoft''s Proactive Password Auditor和Ophcrack。 

  此外,使用在SQL Server中使用Windows身份驗證並不表示你的密碼就是安全的。一些人只要瞭解如何破解Windows密碼,在花一些時間,就可以破解你的密碼並控制整個網路。特別是,如果他們使用<>Ophcrack''s LiveCD來攻擊一個物理上不安全的Windows主機,比如筆記本電腦或者易可達的伺服器,那將變得更加容易。 

  你只需擔心你主資料庫伺服器 

  我們很容易把關註點集中在自己的SQL Server系統上,而忽略了網路中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程式。這些系統可能正在使用不安全的預設設置,甚至根本就沒有密碼。通過使用SQLPing 3這樣的工具來對資料庫伺服器上的這些系統進行攻擊,你將很容易地被破解。 

  IT像其他東西一樣,你總是被一些細節所打倒。如果可以拋棄這些對SQL Server密碼的危險判斷,你必將改善你的SQL Server的安全 

轉賬自:http://www.aspnetjia.com/Cont-202.html


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • Android Intent調用 Uri的使用幾種格式
  • MPAndroidChart開源圖表庫之餅狀圖 為大家介紹一款圖標開源庫MPAndroidChart,它不僅可以在Android設備上繪製各種統計圖表,而且可以對圖表進行拖動和縮放操作,用起來非常靈活。MPAndroidChart同樣擁有常用的圖表類型:線型圖、餅圖、柱狀圖和散點圖。 mpandro
  • 本地: 1.進入MySQL目錄下的bin文件夾:e:回車; e:\>cd mysql\bin? 回車 2.導出資料庫:mysqldump -u 用戶名 -p 資料庫名 > 導出的文件名 範例: mysqldump -u root -p abc > abc.sql (導出資料庫abc到abc.sql文
  • 連接mysql時遇到的錯誤。 原因:該用戶沒有許可權連接訪問mysql資料庫 解決方法:網站上搜了好多,試了都沒有用。最終在登陸的信息頁面用root用戶登陸時不輸入root密碼即可。
  • 從08開始,sql server 提供了一種叫做 變更數據捕獲 cdc(Change Data Capture) 的功能,可以通過啟用這個功能,來實現查看資料庫中的表對象的數據的變化情況。(我感覺就是有點像sql server 自己提供的用戶能直接看懂的數據變化功能)。 根據官方的說法。使用cdc
  • 一、簡介 MongoDB 是由C++語言編寫的,是一個基於分散式文件存儲的開源資料庫系統。MongoDB 旨在為WEB應用提供可擴展的高性能數據存儲解決方案。MongoDB 將數據存儲為一個文檔,數據結構由鍵值(key=>value)對組成。MongoDB 文檔類似於 JSON 對象。欄位值可以包含
  • 查看oracle狀態的SQL語句 select status from v$instance; 查看oracle控制文件的SQL語句 select name from v$controlfile; 查看oracle數據文件的SQL語句 select name from v$datafile; 查看o
  • 看論壇上還許多人問及ACCESS被註入的安全問題許多人解決的方法仍然是用Replace替換特殊字元,然而這樣做也並沒有起到太大做用今天我就把我用ACCESS參數化查詢的一些方法和經驗和大家分享希望對大家有所啟發,有寫的不對的地方希望高手們多多指教 ASP.NET 用OleDbCommand的new
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...