快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门新葡亰app是真的吗_龟发之家论坛



yanweidong1030 [原作]

数据库是电子商务、金融以及ERP系统的根基,平日都保存侧紧张的商业伙伴和

客户信息。大年夜多半企业、组织以及政府部门的电子数据都保存在各类数据库中,他们

用这些数据库保存一些小我资料,还掌握着敏感的金融数据。然则数据库平日没有象

操作系统和收集这样在安然性上受到注重。数据是企业,组织的命脉所在,是以选择

一款安然的数据库是至关紧张的。大年夜型网站一样平常应用oracle或DB2,而中小型网站大年夜

多半应用加倍机动小巧的mssql数据库或者mysql数据库。那么,在同样的前提下,微

软的mssql和免费的mysql哪个加倍安然呢?

我在我的机子上面用治理员帐号默认安装了mssql和mysql以便在相同的环境下测

试他们的安然性。我的系统设置设置设备摆设摆设如下:操作系统Microsoft Windows 2000 Version5.0,

安装了sp4,ftp办事和iis办事,支持asp和php。系统只有一个治理员帐号admin,guest

帐号没有禁用。

一.系统内部安然性阐发

1.mysql数据库权限节制问题

mysql的权限节制是基于mysql这个数据库的,叫做授权表,一共包括包括六个表

columns_priv,db,func,host,tables_priv和user。先应用desc user敕令查看非

常紧张的user表的布局以便查询内容,现在可以查看他的权限设置了。

应用敕令select 澳门新葡亰app是真的吗host,user,password,delete_priv,update_priv,drop_priv from user;

这个敕令查看了几个对照危险的权限,显示结果如下:

mysql> select host,user,password,delete_priv,update_priv,drop_priv from user;

+-----------+------+------------------+-------------+-------------+-----------+

| host | user | password | delete_priv | update_priv | drop_priv |

+-----------+------+------------------+-------------+-------------+-----------+

| localhost | root |0e4941f53f6fa106 | Y | Y | Y |

| % | root | | Y | Y | Y |

| localhost | | | Y | Y | Y |

| % | | | N | N | N |

+-----------+------+------------------+-------------+-------------+-----------+

4 rows in set (0.00 sec)

第一条表示在本机应用root用密码登岸,拥有删除记录,改动记录,删除表等权限,

好,这是安然的。第二条表示在任何主机应用root不需密码登岸,拥有删除记录,

改动记录,删除表等权限。第三条表示在本机匿名登岸,拥有删除记录,改动记

录,删除表等权限。着末条表示可以再任何主机匿名登岸,然则没有任何权限。

显然,第二,三,四都是不安然的!第二条不用说,就第三条而言,就算你在本地

是guest权限,然则也可以登岸mysql数据库,而且拥有整个权限。这样,就可以对数

据库随心所欲了。

办理措施:假如你不必要远程掩护,删除掉落第二条,delete from user where

host="%" and user="root";或者给它加个强壮的密码。删除第三条,delete from

user where host="localhost" and user="";

2.mysql安装目录权限问题

mysql默认安装到c:\mysql,然则c盘默认是everyone完全节制,因为权限的承袭

性,c:\mysql对everyone也是完全节制的,显然这样是不安然的。由于恶意用户可以

删除紧张的数据文件。

办理措施:从新设置mysql目录的存取权限。或者将mysql安装到其他目录,假如

你移动Mysql分发到D:\mysql,你就必须应用用

D:\mysql\bin\mysqld --basedir D:\mysql来启动mysqld,以致还必要改动它的设置设置设备摆设摆设

文件。

3.mssql数据库权限节制问题

mssql数据库的权限节制是基于master库的syslogins表,拥有所有权限的帐号是

sa,其他还有sysadmin,db_owner等不合权限帐号。然则,mssql数据库最高权限帐

号sa的默认密码是空,这样假如安装的时刻不留意,就会给数据带来息灭性的劫难。

恶意进击者可以改动,删除所稀有据,加倍紧张的是mssql帐号可以使用扩展履行系

统敕令。

办理措施:按期反省所有登岸帐号,查澳门新葡亰app是真的吗看是否有不相符要求的密码。

Use master

Select name,Password from syslogins where password is null敕令反省是否有空

口令帐号存在。尽可能的删除存储扩展,防止本地用户使用存储扩展履行恶意敕令。

use master

sp_dropextendedproc xp_cmdshell 敕令删除xp_cmdshell扩展。

4.mssql安装目录权限问题

同mysql一样,mssql也是安装到everyone完全节制c盘,因为存取节制问题,最

好安装到d盘等非系统盘进行严格的权限节制。而且,因为mssql数据库与系统结合异常慎密,系统治理员在没稀有据库密码的环境下也可以经由过程选择windows验证来操作数据库。是以,通俗用户有可能经由过程系统破绽提升自己的权限,对数据库进行破坏。

办理法子:除了严格的存取限定外,还要按期查看SQL Server日志反省是否有可

疑的登录事故发生,或者应用DOS敕令findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.*。

mssql的安然是和windows系统安然慎密结合的,任何一个呈现破绽,都邑要挟到另一个的安然。

总结,在系统内部安然性上,mysql和mssql都没有达到令人知足的程度,帐号安然,存取权限都节制的不是很好。然则mssql有具体的日志可以查看登岸环境,比mysql要超过跨过一筹。假如进行了合理的设置,mysql反而要加倍安然些,由于对mssql而言,只要有系统权限即可拥稀有据库权限。

二.外部收集安然性阐发

1.数据库办事的探测

为了安然,可以让mysql办事运行在内网,然则假如你的机械有外网的接口,mysql也会自动被绑定在外网上面,裸露在internet中,而且系统会在TCP的3306端口 监听,异常轻易被端口扫描对象发明,不能包管数据安然。假如默认,mssql则会打开TCP的1433端口 监听。虽然mssql可以工资的改变 监听端口,然则经由过程微软未公开的1434端口的UDP探测可以很轻易知道SQL Server应用的什么TCP/IP端口了。往UDP1434端口

发送一个1个字节的内容为02的数据包,被探测的系统则会返回安装的mssql办事信息,这些信息包括:主机名称、实例名称、版本、管道名称以及应用的端口等。这个端口是微软自己应用,而且不象默认的1433端口那样可以改变,1434是不能改变的。一个范例的返回的信息如下:

ServerName;Sky;InstanceName;sky;IsClustered;No;Version;8.00.194;tcp;3341;np;\\sky\pipe\MSSQL$XHT310\sql\query; 可以发明mssql的tcp端口改成了3341,为进击者打开了方便之门!只要会一点socket编程常识,很轻易就可以写出扫描mssql办事的法度榜样,而且,因为使用了udp端口,一样平常的过滤是很难警备的。 补天的awen写了个探测法度榜样,用的是c#说话,代码如下:

using System;

using System.Net.Sockets;

using System.Net;

using System.Text;

using System.Threading;

namespace ConsoleApplication3

{

class Class1

{

//创建一个UDPCLIENT实例

private static UdpClient m_Client;

/澳门新葡亰app是真的吗/LISTEN用来获取返回的信息

public static string Listen(string hostip)

{

string HostIP = hostip;

IPAddress thisIP = IPAddress.Parse(HostIP);

IPEndPoint host = new IPEndPoint(thisIP,1434);

byte [] data = m_Client.Receive(ref host);

Encoding ASCII = Encoding.ASCII;

String strData = ASCII.GetString(data);

return strData;

}

//SEND

public static void Send(string hostip)

{

string澳门新葡亰app是真的吗 HostIP = hosti澳门新葡亰app是真的吗p;

byte [] buffer = {02};

//02为要发送的数据,只有02、03、04有回应

int ecode = m_Client.Send(buffer,1,HostIP,1434);

//ecode用来返回是否成功发送

if(ecode

您可能还会对下面的文章感兴趣: