คำถามติดแท็ก security

เป็นความจริงหรือไม่ที่ขั้นตอนการจัดเก็บป้องกันการโจมตี SQL injection กับฐานข้อมูล PostgreSQL ฉันทำวิจัยเล็กน้อยและพบว่า SQL Server, Oracle และ MySQL ไม่ปลอดภัยต่อการฉีด SQL แม้ว่าเราจะใช้ขั้นตอนการจัดเก็บเท่านั้น อย่างไรก็ตามปัญหานี้ไม่มีอยู่ใน PostgreSQL การใช้โพรซีเดอร์ที่เก็บไว้ในแกน PostgreSQL ป้องกันการโจมตีจากการฉีด SQL หรือเป็นอย่างอื่นหรือไม่? หรือ PostgreSQL มีความอ่อนไหวต่อการฉีด SQL แม้ว่าเราจะใช้ขั้นตอนการจัดเก็บเท่านั้น ถ้าเป็นเช่นนั้นโปรดแสดงตัวอย่าง (เช่นหนังสือไซต์กระดาษ ฯลฯ )

83 postgresql  security  sql-injection 

ฉันต้องการใช้การรักษาความปลอดภัยแบบรวมกับแอปพลิเคชันภายในซึ่งอยู่ในโดเมนทั้งหมด น่าเสียดายที่ฉันไม่สามารถทำให้สิ่งนี้ทำงานได้ดี ฉันต้องการกำหนดให้ทั้ง Exchange (Active Directory) จัดกลุ่มบทบาทใน SQL Server สำหรับการเข้าถึงแบบอ่าน / เขียนในตารางบางตัว ด้วยวิธีนี้ฉันจะไม่ต้องสร้างโอเปอเรเตอร์เมื่อมีคนจ้างหรือลบโอเปอเรเตอร์เมื่อมีคนถูกไล่ออก เป็นไปได้ไหม ฉันจะทำขั้นตอนใดในการทำเช่นนี้?

40 sql-server  sql-server-2008  security  role  active-directory 

เมื่อเร็ว ๆ นี้ผมโพสต์คำตอบสำหรับคำถามเกี่ยวกับ mysql.db จากนั้นฉันต้องคิดว่าฉันควรถามคำถามนี้กับทุกคน: ฉันสังเกตเห็นมานานหลายปีแล้วว่าเมื่อติดตั้ง MySQL 5.0+ mysql.dbจะมีสองรายการที่อนุญาตให้เข้าถึงฐานข้อมูลทดสอบโดยผู้ใช้ที่ไม่ระบุชื่อ คุณสามารถดูได้โดยเรียกใช้แบบสอบถามนี้: mysql> select * from mysql.db where SUBSTR(db,1,4) = 'test'\G *************************** 1. row *************************** Host: % Db: test User: Select_priv: Y Insert_priv: Y Update_priv: Y Delete_priv: Y Create_priv: Y Drop_priv: Y Grant_priv: N References_priv: Y Index_priv: Y Alter_priv: Y Create_tmp_table_priv: Y …

36 mysql  security 

โดยทั่วไปเมื่อฉันเริ่มต้นในสภาพแวดล้อมใหม่ฉันมักจะตรวจสอบที่มีการสำรองข้อมูลเมื่อเต็มล่าสุดถูกนำมาใช้เมื่อมีการคืนค่าครั้งล่าสุดและฉันตรวจสอบความปลอดภัยด้วย วิธีที่ฉันทำคือผ่าน T-SQL ตรวจสอบข้อมูลสำรอง ;with Radhe as ( SELECT @@Servername as [Server_Name], B.name as Database_Name, ISNULL(STR(ABS(DATEDIFF(day, GetDate(), MAX(Backup_finish_date)))), 'NEVER') as DaysSinceLastBackup, ISNULL(Convert(char(11), MAX(backup_finish_date), 113)+ ' ' + CONVERT(VARCHAR(8),MAX(backup_finish_date),108), 'NEVER') as LastBackupDate ,BackupSize_GB=CAST(COALESCE(MAX(A.BACKUP_SIZE),0)/1024.00/1024.00/1024.00 AS NUMERIC(18,2)) ,BackupSize_MB=CAST(COALESCE(MAX(A.BACKUP_SIZE),0)/1024.00/1024.00 AS NUMERIC(18,2)) ,media_set_id = MAX(A.media_set_id) ,[AVG Backup Duration]= AVG(CAST(DATEDIFF(s, A.backup_start_date, A.backup_finish_date) AS int)) ,[Longest Backup …

32 sql-server  sql-server-2014  backup  restore  security 

สถานการณ์จำลอง : คุณส่งการสำรองฐานข้อมูลและบอกให้คืนค่าไปยังเซิร์ฟเวอร์ (ที่โฮสต์ฐานข้อมูลอื่นอยู่แล้ว) แต่ไม่ได้รับข้อมูลที่เป็นประโยชน์เกี่ยวกับการสำรองข้อมูลที่มีหรือว่าแหล่งข้อมูลนั้นควรเชื่อถือได้หรือไม่ คำถามที่ 1 : ความหมายของการกู้คืนข้อมูลสำรองที่อาจเป็นอันตรายได้อย่างไร คำถามที่ 2 : คุณสามารถปกป้องเซิร์ฟเวอร์ / ข้อมูลในฐานข้อมูลอื่นจากผลกระทบของการกู้คืนข้อมูลสำรองที่อาจเป็นอันตรายได้อย่างไร RESTORE VERIFYONLYดูเหมือนจะเป็นก้าวแรกที่ดี คำตอบที่ดีที่สุดคือ 'กู้คืนฐานข้อมูลใน sandbox VM โดยไม่ต้องเข้าถึงโลกภายนอก' แต่ลองสมมติว่าตัวเลือกนั้นอยู่นอกตาราง ควรทำอะไรในสถานการณ์นี้

31 sql-server  backup  security 

เบราว์เซอร์หลักเคลื่อนไหวเกิน SSL3.0 และ TLS1.0 PCI Security Council ได้ประกาศวันที่หมดอายุการใช้งานสำหรับโปรโตคอลเหล่านี้ที่จะพิจารณาว่ามีการเข้ารหัสที่แข็งแกร่งเพียงพอ เราจำเป็นต้องย้ายออกจากโปรโตคอลเหล่านี้เพื่อใช้ใหม่และแข็งแรงกว่า บนเซิร์ฟเวอร์ Windows คุณสามารถปิดใช้งานโปรโตคอลเก่าเหล่านี้ได้อย่างง่ายดายและเสนอ TLS1.1 หรือสูงกว่าแทน อย่างไรก็ตามตามที่ระบุไว้ที่อื่น Microsoft SQL Server 2008 R2 และ SQL Server 2012 (มาตรฐานอย่างน้อยที่สุด) ทั้งคู่จะไม่เริ่มทำงานหากปิดใช้งานโปรโตคอลที่ต่ำกว่า อย่างไรก็ตามมี MS SQL Server เวอร์ชันที่เพิ่มขึ้นเรื่อย ๆ มี SQL Server Standard, Business Intelligence, Enterprise, Express, Web และ Compact Editions และแน่นอนว่ามี SQL Server 2008, 2012, 2014 …

30 sql-server  security  connectivity  ssl 

Oracle กำลังลดการรับรองความถูกต้องของระบบปฏิบัติการตามคำแนะนำของOracle Database Securityซึ่งระบุว่า โปรดทราบว่าพารามิเตอร์ REMOTE_OS_AUTHENT นั้นเลิกใช้แล้วใน Oracle Database 11g รีลีส 1 (11.1) และจะถูกเก็บไว้สำหรับความเข้ากันได้แบบย้อนหลังเท่านั้น นอกจากนี้ข้อมูลและเครื่องมือความปลอดภัยส่วนใหญ่พิจารณาว่าการ รับรองความถูกต้องของ OS (ภายนอก)เป็นปัญหาด้านความปลอดภัย ฉันพยายามที่จะเข้าใจว่าทำไมถึงเป็นเช่นนี้ นี่คือข้อดีบางอย่างที่ฉันเห็นของการตรวจสอบ OS: หากไม่มีแอพพลิเคชั่นรับรองความถูกต้องของ OS จะต้องจัดเก็บรหัสผ่านไว้ในแอปพลิเคชันที่หลากหลายแต่ละแบบมีรูปแบบความปลอดภัยและช่องโหว่ของตนเอง การรับรองความถูกต้องของโดเมนนั้นจะต้องมีความปลอดภัยเพราะหากไม่ใช่ความปลอดภัยของฐานข้อมูลก็จะทำให้การเข้าถึงฐานข้อมูลช้าลง แต่ไม่สามารถป้องกันได้ ผู้ใช้ที่ต้องจำรหัสผ่านโดเมนเพียงรหัสเดียวสามารถสร้างรหัสผ่านโดเมนที่ปลอดภัยได้ง่ายกว่าที่พวกเขาสามารถสร้างรหัสผ่านฐานข้อมูลที่มีความปลอดภัยน้อยลงได้เนื่องจากจำนวนฐานข้อมูลที่แตกต่างกันที่พวกเขาต้องเชื่อมต่อเพื่อเพิ่ม

29 oracle  oracle-11g-r2  security 

เมื่อฉันรัน SQL นี้: USE ASPState GO IF NOT EXISTS(SELECT * FROM sys.sysusers WHERE NAME = 'R2Server\AAOUser') CREATE USER [R2Server\AAOUser] FOR LOGIN [R2Server\AAOUser]; GO ฉันได้รับข้อผิดพลาดต่อไปนี้: การเข้าสู่ระบบมีบัญชีภายใต้ชื่อผู้ใช้อื่นแล้ว ฉันจะรู้ได้อย่างไรว่าชื่อผู้ใช้ที่แตกต่างกันนี้สำหรับบัญชีเข้าสู่ระบบของฉันได้อย่างไร

29 sql-server  security  logins 

แม้แต่ Microsoft ไม่สนับสนุนการใช้โหมดการรับรองความถูกต้องของ SQL Serverแต่แอปพลิเคชันของเราต้องการ ฉันได้อ่านว่าเป็นวิธีปฏิบัติที่ดีที่สุดที่จะไม่อนุญาตให้ผู้ใช้ใช้การsaเข้าสู่ระบบโดยตรงแทนการใช้ Windows Authentication และการอนุญาตสิทธิ์ดูแลระบบบัญชี (หรือกลุ่มบัญชี) เหล่านั้น นั่นไม่ใช่สิ่งเดียวกัน ข้อดี / ข้อเสียคืออะไร? แนวปฏิบัติที่เหมาะสมที่สุดเพิ่มความปลอดภัยของอินสแตนซ์ SQL Server ของฉันได้อย่างไร สิ่งนี้ใช้ได้กับอินสแตนซ์การผลิตหรือกับอินสแตนซ์การพัฒนาภายในของเราด้วยหรือไม่

25 sql-server  security 

ฉันลืมรหัสผ่าน sa บนเครื่องและเมื่อฉันเข้าสู่ระบบโดยตรงโดยใช้บัญชีในกลุ่มผู้ดูแลระบบ SQL Server Management Studio จะไม่อนุญาตให้ฉันเข้าสู่ระบบโดยใช้การรับรองความถูกต้องของ Windows แผนของฉันคือเพียงลงชื่อเข้าใช้เซิร์ฟเวอร์เชื่อมต่อผ่านการรับรองความถูกต้องของ Windows และรีเซ็ต sa ให้ใช้รหัสผ่านใหม่ เนื่องจากฉันไม่สามารถเชื่อมต่อผ่านการรับรองความถูกต้องของ Windows สิ่งนี้จะไม่ทำงาน ฉันจะรีเซ็ตรหัสผ่าน sa ได้อย่างไร

22 security  sql-server-2000 

คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Exchange Administrators Stack Exchange อพยพ 7 ปีที่ผ่านมา ฉันมีงานบนเซิร์ฟเวอร์ MSSQL 2005 ของฉันที่ฉันต้องการอนุญาตให้ผู้ใช้ฐานข้อมูลใด ๆ ทำงาน ฉันไม่กังวลเกี่ยวกับความปลอดภัยเนื่องจากอินพุตของงานจริงมาจากตารางฐานข้อมูล เพียงแค่เรียกใช้งานโดยไม่ต้องเพิ่มบันทึกลงในตารางนั้นจะไม่ทำอะไรเลย ฉันไม่สามารถหาวิธีอนุญาตสิทธิ์สาธารณะให้กับงานได้ มีวิธีการทำเช่นนี้? สิ่งเดียวที่ฉันสามารถคิดได้ ณ จุดนี้คือการให้งานทำงานอย่างต่อเนื่อง (หรือตามกำหนดเวลา) แต่เนื่องจากมันจำเป็นต้องทำงานจริง ๆ น้อย ๆ (บางทีทุกๆสองสามเดือน) และฉันต้องการให้งานเป็นจริง เสร็จสิ้นทันทีที่มีอยู่สิ่งนี้ดูเหมือนจะไม่เป็นทางออกที่ดีที่สุด

22 sql-server  sql-server-2005  permissions  security 

ในอดีตนั้นไม่แนะนำให้ใช้พอร์ตเริ่มต้นสำหรับการเชื่อมต่อกับ SQL Server ซึ่งเป็นส่วนหนึ่งของแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด บนเซิร์ฟเวอร์ที่มีอินสแตนซ์เริ่มต้นเดียวจะใช้พอร์ตต่อไปนี้เป็นค่าเริ่มต้น: บริการ SQL Server - พอร์ต 1433 (TCP) บริการเบราว์เซอร์เซิร์ฟเวอร์ SQL - พอร์ต 1434 (UDP) การเชื่อมต่อผู้ดูแลระบบเฉพาะ - พอร์ต 1434 (TCP) คำถาม: คำแนะนำนี้ยังเกี่ยวข้องหรือไม่? ควรเปลี่ยนพอร์ตด้านบนทั้งหมดหรือไม่

21 sql-server  security  best-practices  dynamic-ports 

ฉันกำลังทดสอบความยืดหยุ่นจากการโจมตีของการฉีดในฐานข้อมูล SQL Server ชื่อตารางในฐานข้อมูลเป็นกรณีที่ต่ำกว่าและการเปรียบเทียบเป็นกรณีที่มีความไวLatin1_General_CS_AS สตริงที่ฉันสามารถส่งถูกบังคับให้พิมพ์ใหญ่และสามารถมีความยาวสูงสุด 26 อักขระ ดังนั้นฉันไม่สามารถส่งเป็นตาราง DROP ได้เนื่องจากชื่อตารางจะเป็นตัวพิมพ์ใหญ่และดังนั้นคำสั่งจะล้มเหลวเนื่องจากการเปรียบเทียบ ดังนั้น - ความเสียหายสูงสุดที่ฉันสามารถทำได้ใน 26 ตัวละครคืออะไร? แก้ไข ฉันรู้ทั้งหมดเกี่ยวกับข้อความค้นหาที่กำหนดพารามิเตอร์และอื่น ๆ - ลองจินตนาการว่าบุคคลที่พัฒนาส่วนหน้าที่สร้างคิวรีเพื่อส่งไม่ได้ใช้พารามิเตอร์ในกรณีนี้ ฉันยังไม่ได้พยายามทำอะไรชั่วร้ายนี่เป็นระบบที่สร้างโดยคนอื่นในองค์กรเดียวกัน

21 sql-server  t-sql  security 

คำถามแรกของฉันโปรดเป็นคนอ่อนโยน ฉันเข้าใจว่าบัญชี sa ช่วยให้สามารถควบคุม SQL Server และฐานข้อมูลผู้ใช้สิทธิ์ทั้งหมดได้อย่างสมบูรณ์ ฉันเชื่ออย่างแน่นอนว่าแอปพลิเคชันไม่ควรใช้รหัสผ่าน sa หากไม่มีเหตุผลที่สมบูรณ์แบบนักธุรกิจให้ความสำคัญ คำตอบสำหรับคำถามนี้รวมถึงเหตุผลมากมายของฉันสำหรับการสนทนาที่เน้นด้านไอที ฉันถูกบังคับให้ยอมรับระบบการจัดการบริการใหม่ที่จะไม่ทำงานจนกว่าจะใช้รหัสผ่าน sa ฉันไม่เคยมีเวลาที่จะหาสาเหตุว่าทำไมเมื่อทำการตั้งค่าการประเมินผล แต่ทีมเซิร์ฟเวอร์พยายามที่จะติดตั้งเพื่อใช้บทบาทคงที่ฉันได้ตั้งค่าการรวม db_creater และสิทธิ์อื่น ๆ ที่ฉันคิดว่ามันต้องมี ซึ่งล้มเหลว ฉันปล่อยให้ทีมเซิร์ฟเวอร์ติดตั้งด้วยบัญชี sa แต่ทำงานภายใต้บัญชีในบทบาท dbo สำหรับฐานข้อมูล แต่ก็ล้มเหลวด้วย ฉันพยายามทำให้มันทำงานโดยใช้บัญชีในบทบาทดูแลระบบ แต่ก็ล้มเหลวและไม่มีข้อความแสดงข้อผิดพลาดที่เป็นประโยชน์ที่ทำให้ฉันสามารถทำงานสิ่งที่เกิดขึ้นโดยไม่ต้องใช้เวลามากกว่าที่ฉันมี มันจะทำงานกับบัญชี sa และรหัสผ่านที่เก็บไว้ในข้อความที่ชัดเจนในไฟล์ปรับแต่ง เมื่อฉันสอบถามเรื่องนี้และทีมเซิร์ฟเวอร์ได้พูดคุยกับผู้ขายว่าพวกเขาได้รับคำตอบที่น่ากังวลว่า และจากนั้น 'เราสามารถดูรหัสผ่าน' scrambling ffs scrambling ฉันรู้ว่ามีวิธีและวิธีการ จำกัด การเข้าถึงไฟล์ แต่มันก็เป็นเพียงจุดอ่อนในการรักษาความปลอดภัยในความคิดของฉัน ยังไงก็ตามคำถามของฉันคือใครบางคนสามารถชี้ให้ฉันที่เอกสารบางอย่างที่ฉันสามารถใช้เพื่ออธิบายให้กับธุรกิจด้วยเหตุผลว่าทำไมสิ่งนี้เป็นสิ่งที่ไม่ดีและไม่ควรใหญ่ไม่มี ฉันทำงานในสาขาที่หมายความว่าฉันต้องใช้ความปลอดภัยอย่างจริงจังและพยายามดิ้นรนเพื่อให้ธุรกิจเข้าใจและท้ายที่สุดอาจได้รับการจัดอันดับต่อไป แต่ฉันต้องลอง

21 sql-server  sql-server-2008  security 

เมื่อดูคุณสมบัติของการเข้าสู่ระบบโดยเฉพาะเป็นไปได้ที่จะเห็นรายการผู้ใช้ที่แมปเข้าสู่การเข้าสู่ระบบนั้น: ฉันทำโปรไฟล์ SQL Server Management Studio (SSMS) และฉันเห็นว่า SSMS เชื่อมต่อกับฐานข้อมูลทุกรายการทีละรายการและดึงข้อมูลจาก sys.database_permissions เป็นไปได้ไหมที่จะเขียนเคียวรีเดี่ยวที่ดึงข้อมูลการแม็พผู้ใช้ที่แสดงด้านบนหรือฉันถูกบังคับให้ใช้เคอร์เซอร์หรือ sp_MSforeachdb หรืออะไรทำนองนั้น

19 sql-server  sql-server-2008  permissions  security  logins