2014年01月_whyabc

12月 11月 08月 07月 06月 05月 04月 03月 02月 01月

转载 Microsoft SQL Server SA弱口令攻防实战

Microsoft SQLServer是一个c/s模式的强大的关系型数据库管理系统，应用领域十分广泛，从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。我们都知道，在网络中Microsoft SQLServer的入侵最常见的就是利用SA弱口令入侵了，而核心内容就是利用Microsoft SQLServer中的存储过程获得系统管理员权限，那到底什么是存储过程？为什么利用它可以获得系

2014-01-26 19:46:22 724

转载把SQL Server放入保险箱

安全模式简介从系统结构上来讲SQL Server有两种安全模式。第一种是“仅Windows”模式，这种模式只允许拥有受信任的Windows NT账户的用户登录，是SQL Server默认的安全模式，也是较安全的选项，用户登录SQL Server的前提是该用户使用Windows NT的域账户登录Windows操作系统。另一种是“SQL与Windows用户身份验证”模式，是在SQL Ser

2014-01-26 19:46:14 574

转载简单三步走堵死SQL Server注入漏洞

SQL注入是什么?许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行，通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。网站的恶梦——SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用

2014-01-26 19:46:04 576

转载数据库安全审计

用以下的方式可以监控登入登出的用户: 创建如下的两张表: create table login_log -- 登入登出信息表(session_id int not null, -- sessionidlogin_on_time date, -- 登入进间 login_off_time date, -- 登出时间 user_in_db varchar2(30), -- 登入的db

2014-01-26 19:45:55 855

转载从IIS到SQL Server数据库安全

从codered到nimda等，一大堆蠕虫把原来需要人工利用的漏洞都变成了程序自动利用了，大家还想去手工操作这些IIS漏洞么？让我们调整重心，去看看服务器常用的数据库吧。一般网站都是基于数据库的，特别是ASP、PHP、JSP这样的用数据库来动态显示的网站。很多网站可能多注意的是操作系统的漏洞，但是对数据库和这些脚本的安全总是忽略，也没有太多注意。从最比较普遍的脚本问题开始，这些都是

2014-01-26 19:45:45 568

转载 SQL Server：安全设计从头起

最基本的要点如果你不能理解SQL Server security基本的概念，就马上先停止开发并先阅读这些开发准则，你不可能在不知道这些概念的基础上就能够正确地使一个数据库安全化。程序的安全正如一辆卡车一样。你具有一个发动机，一把钥匙，当钥匙打开发动机即发动机启动之后，就有可能发生的全部过程。如果你忽略了某些细节，驾驶过程中就会发生很多麻烦。在问题产生之后，你可以将卡车交给一个修理工，然而对于程

2014-01-26 19:45:35 565

原创 div visibility和display

visibility属性是隐藏元素但保持元素的浮动位置，而display实际上是设置元素的浮动特征，虽然它们都可以达到隐藏页面元素的目的，但它们的区别在于如何回应正常文档流。DIV中display和visibility属性差别visibility属性：确定元素显示还是隐藏；visibility="visible|hidden"，visible显示，hidden隐

2014-01-26 19:45:20 647

原创 div overflow属性

overflow检索或设置当对象的内容超过其指定高度及宽度时如何管理内容。visible :　默认值。不剪切内容也不添加滚动条。假如显式声明此默认值，对象将以包含对象的 window 或 frame 的尺寸裁切。并且"> clip 属性设置将失效auto :　在必需时对象内容才会被裁切或显示滚动条hidden :　不显

2014-01-26 19:45:05 9561

原创 DIV Display属性和Visibility属性

visibility属性是隐藏元素但保持元素的浮动位置，而display实际上是设置元素的浮动特征，虽然它们都可以达到隐藏页面元素的目的，但它们的区别在于如何回应正常文档流。visibility属性：确定元素显示还是隐藏；visibility="visible|hidden"，visible显示，hidden隐藏。当visibility被设置为"hidden"的

2014-01-25 22:18:00 23426 2

转载专家谈：确保安全数据库审计成燃眉之急

随着信息系统业务不断发展，数据库系统应用范围越来越广。企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。已成燃眉之急由于数据库的作用和影响越来越大，企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题，已经引起各方面的高度重视，成为迫切需要解决的问题。威胁与风险并存由于企业数据库系统用户众多，涉及数据库管理员、内部员工及合作方人

2014-01-25 12:14:24 628

转载考虑SQL Server安全时所应注意的几个方面

安全性问题一直DBA是比较关心的问题，因为建立数据库的目的就是让相关的的客户端来进行访问，所以很难避免不出现安全隐患，例如客户端链接的权限、数据传输过程中的安全等问题，所以大家在考虑SQL Server服务器安全的同时时，必须留意以下几个方面：第一方面：客户端安全：首先需要保证客户端必须是安全的，例如需要为你的客户端安装防病毒软件，防火墙，安装升级补丁等。第二方面：数据传输过

2014-01-25 12:12:14 713

转载专家讲解数据库安全防范黑客入侵技术综述

随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次：⑴ 网络系统层次； ⑵ 宿主

2014-01-25 12:09:31 751

转载三大措施设置数据库安全保障网站安全运营

数据库，网站运营的基础，网站生存的要素，不管是个人用户还是企业用户都非常依赖网站数据库的支持，然而很多别有用心的攻击者也同样非常“看重”网站数据库。对于个人网站来说，受到建站条件的制约，Access数据库成了广大个人网站站长的首选。然而，Access数据库本身存在很多安全隐患，攻击者一旦找到数据库文件的存储路径和文件名，后缀名为“.mdb”的Access数据库文件就会被下载，网站中的许多重要

2014-01-25 12:08:16 911

转载解析数据库安全审计

数据库安全现状大学数据库原理教科书中，数据库是这样被解释的：数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式，如文字/数码/符号/图形/图象以及声音。数据库系统立足于数据本身的管理，将所有的数据保存于数据库中，进行科学地组织，借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。数据库

2014-01-25 12:02:51 1057

转载如何避免数据库行为监控系统部署问题

在部署数据库行为监控（DAM）系统时有两个最常见的问题：数据采集的准确性问题和DAM系统的性能问题。这篇文章，我们将讨论如何避免掉入DAM的上述陷进中。不当的监控方式会影响审计的准确性DAM产品一个经常被忽视的缺点就是网络监视。对于非关键的数据库基础设施，通过网络监视采集SQL行为是可行的。但如果出于合规需要，则最好选择代理型的DAM产品。这类产品通过在数据库平台上安装代理来检测所有的数据

2014-01-25 12:02:15 581

转载数据库调查取证工具：DDLDUMP和Data Block Examiner

最近，，被黑的根源则在于SQL注入攻击--这个被认为是呈下降趋势的漏洞现在变成了数据库安全的责任人。抵御SQL注入攻击很重要的一点便是：如何去了解是什么攻击了你或是攻击来源于哪里。这就是数据库攻击取证之所以重要的原因。DDLDUMP和Data Block Examiner是两个能够帮助你完成这项取证任务的工具。DDLDUMP：DDL数据定义语句，一个由计算机语言所定义的数据结构。DD

2014-01-25 12:00:20 1731

转载认识数据库安全威胁　保护数据安全（1）

数据库安全威胁 1 - 滥用过高权限当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。数据库安全威胁 2 - 滥用合法权用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病

2014-01-25 11:59:27 805

转载数据库安全监控最佳实践：使用DAM工具

很少有比保护数据库及其存储的数据更加严峻的IT安全挑战了，尤其是针对最常用的数据库和Web应用程序的攻击：SQL注入。尽管关系型数据库管理系统（RDBMS）供应商、IT安全专家和应用程序开发人员都意识到了此类攻击，但问题依然存在，因为在不影响商业运作的前提下，这类攻击难以检测和阻止。更严重的是，SQL注入是攻击者能够完全控制关系型数据库的攻击手段之一。关系型数据库结构复杂，允许多种应用程序同时

2014-01-25 11:58:15 1750

转载了解数据库安全审计工具（下）：什么是数据库审计

数据库审计工具及其应用程序有四种基本平台可以用于创建、收集和分析数据库审计，它们是：本地数据库平台、系统信息/事件管理及其日志管理、数据库活动监控和数据库审计平台。1. 本地审计：指的是使用本地数据库来进行数据获取，但使用数据库系统本身对事件进行存储、分类、过滤和报告。IBM、微软、甲骨文和Sybase针对这种情况都提供各自不同的解决方案，但本质上都是去获取相同的信息。虽然数据通常存储在数

2014-01-25 11:56:26 2171

转载了解数据库安全审计工具（上）：什么是数据库审计

审计是规则遵从和安全计划的核心组成部分，也是目前IT部门中普遍实行的做法。关系数据库是第一款嵌入审计功能、并将其作为本地平台功能的企业级应用程序。然而，这次尝试却给审计带来了不好的名声。厂商只是提供了最基本的功能，却没有给数据库管理员提供所需要的性能和易管理性，因此管理员们至今仍对审计功能感到厌恶，并依旧抵制使用数据库审计跟踪功能。数据库管理员对本地审计功能感到厌恶是有其合理性的：本地审计的性

2014-01-25 11:55:45 1777

转载了解数据库安全审计工具

2014-01-25 11:54:45 948

转载数据库安全最佳实践：数据库审计工具调优

数据库管理员受命于创建审计记录以符合安全审计和合规审计的要求，但如果他们仅仅去阅读那些叙述如何进行数据库审计的标准操作手册的话，恐怕会很失望。数据库审计工具都有一些特殊的使用技巧，如果不花费时间合理地规划审计流程，使用这些工具可能会使得数据库运行性能遭受惨重打击。由于进行审计而导致数据库运行性能下降超过50%的例子并不少见。这也就意味着，看起来简单的审计工作可能最终会导致数据库变慢、表空间占满、收

2014-01-25 11:53:44 736

转载企业应当如何应对SQL注入式攻击

对于使用MSSQL数据库的网站来说，如果没有对进行防御那么将受到致命的打击。关于对付SQL注入攻击的方法已经有许多讨论，但是为什么还是有大量的网站不断地遭受其魔掌呢?安全研究人员认为，现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候，从而减轻与注入攻击相关的风险。笔者在此介绍的这些方法未必是革命性的创举，但是又有多少企业真正按照要求全面地实施这些方法呢?下面，我们将一一谈论这些方法：

2014-01-25 11:52:19 517

转载数据库管理系统安全：数据仓库的优势

问：我们公司正在想办法扩展现有的数据库管理系统（DBMS）基础设施，而且我们也在考虑如何以最佳方式来处理遗留数据的问题。为什么一家公司必须得把数据库和数据仓库分开呢？为什么不能只用一个大型数据库来存储当前的和历史的所有数据呢？把所有数据都存储在同一个数据库中，会不会产生重大的安全问题？答：我之所以要强烈建议你不要把所有数据都移到一个大型数据库中，主要有以下几个原因。首先，如果你把所有数据都放在

2014-01-25 11:49:53 794

转载数据库应用安全：如何平衡加密与访问控制

通常情况下，公司一些最敏感的数据存储在数据库中。这些数据包括医疗记录、员工记录、信用卡号码、社会保障号码等，它们受隐私法规的监管，必须加以保护。然而，与此同时，公司必须在敏感数据的安全性与可用性之间进行折中，以满足因合法的商业使用而访问这些数据的需求，包括为保持业务连续性而进行的备份和远程复制。最强大的数据隐私保护技术是加密。但是，为了既切实保证敏感数据的安全性而又不影响业务的连续性，使用加密

2014-01-25 11:47:21 1182

转载金融行业数据库项目经验分享

创新性应用　　――在银行的关键应用中使用国产数据库　　众所周知，银行对于数据安全性和系统稳定性的要求无疑是最高的，在这种高标准的要求下，我们敢于尝试敢于创新，在为华夏银行开发的“华夏银行运行资金与资源管理系统”中使用了由北京大学开发的国产数据库。此系统集资金流、工作流、物流于一体，以资金流为主线、以工作流为驱动、以物流为产物，全面管理银行的预算资金、项目、公文、固定资产，系统采用大集中模式

2014-01-25 11:40:55 4905

转载如何在SQL Server数据库中加密数据

如何在SQL Server数据库中加密数据为了防止某些别有用心的人从外部访问数据库，盗取数据库中的用户姓名、密码、信用卡号等其他重要信息，在我们创建数据库驱动的解决方案时，我们首先需要考虑的的第一条设计决策就是如何加密存储数据，以此来保证它的安全，免受被他人窥测。SQL Server中有哪一种支持可以用于加密对象和数据?从一开始就讨论一下SQL Server欠缺什么是明智的，或者是

2014-01-25 11:15:07 1322

转载 Java中3DES加密与C#兼容

附：近日的项目是与其他公司进行合作开发的，在传输密码时对方提出用3DES加密方式进行加密。对方提供了BASE64编码的key和向量IV，其使用的是C#语言，在进行3DES加密时使用的是CBC模式，Zeros填充方式。而我方使用的是java语言。在Google一番后发现，两种语言之间有两种兼容方式：1.C#采用CBC Mode，PKCS7 Padding,Java采用CBC Mod

2014-01-25 11:05:51 902

转载 C#以逗号拆分字符串,若字段中包含逗号(备注：包含逗号的字段必须有双引号引用)则对其进行拼接处理

/// /// 以逗号拆分字符串 /// 若字段中包含逗号(备注：包含逗号的字段必须有双引号引用)则对其进行拼接处理 /// 最后在去除其字段的双引号 /// /// /// private static string[] SplitStringWithComma(string

2014-01-23 21:49:21 2713

转载 div+css提高篇之position定位relative与absolute

div+css提高篇之position定位relative与absoluteposition定位是前端新手的又一个障碍，好比是双节棍，刚开始练习的时候很容易伤者自己，纯熟似李小龙刷起来自然是得心应手，威力无穷。position定位在实际应用中多见于和js同时使用，纯静态页面使用position好比杀鸡用牛刀，大材小用不说，用起来也不会顺手。首先指出一点：使用position对某一个

2014-01-21 23:42:13 781 1

原创 DIV水平居中显示

DIV水平居中显示示例： DIV+CSS /*设置水平居中*/ #main{ margin:0 auto; /*上下距离为0px，左右距离自动*/ width:960px; background:#ccc; } #other{ margin:10px auto; /*上下距离为10px，左

2014-01-21 23:26:17 790

原创 DIV position z-index 设置层级

z-index 设置层级也就是设置元素的堆叠顺序。默认为0，即和文档流处于同一个层级。如果设置-1，则处于底层。拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面。注释：z-index 仅能在定位元素上奏效（例如 position:absolute;）！

2014-01-20 23:53:59 2583

原创 DIV position属性

DIV定位，position属性absolute ：绝对定位位置相对于文档流的左上角，会脱离文档流，飘起来。配合top、right、bottom、left使用。有意思的是绝对定位也是“相对”的。它的坐标是相对其容器来说的。容器又是什么呢，容器就是离元素最近的一个定位好的“祖先”，定位好的意思就是其position是absolute或fixed或relative。如果没有这个

2014-01-20 23:52:58 9117

转载 * {margin:0;padding:0;}

* 是表示针对HTML的所有元素。margin表示边框外面留的空白，后面的0表示不留空白。padding表示边框内部带内容之间填充，后面的0表示不留空白。border表示边框，后面的0px表示边框宽度为0像素，边框绘制方式none表示不绘制边框。原文：http://guanjy0129.blog.163.com/blog/static/111549445

2014-01-20 23:04:50 3976

转载使用链接服务器执行SELECT、UPDATE、INSERT 或 DELETE 及其它命令

当在SQL SERVER中建立好链接服务器之后，我们可以使用下面的方法对远程的数据库进行相关的操作。假设链接服务器的名称为 Orcl SELECT：指明要选择的列的过虑条件，可以传入到openquery方法中，也可以在选出之后过滤。 select * from openquery(Orcl,'select * from dept'); selec

2014-01-20 22:46:21 16540 2

原创 SQL创建链接服务器

创建MySQL的链接服务器：use mastergo-- 删除链接服务器，如果存在此链接服务器if exists(select * from sysservers where srvid != 0 and srvname='MYSQLLINK') EXEC master.dbo.sp_dropserver @server=N'MYSQLLINK', @droplogins

2014-01-20 22:42:19 3016 1

转载 Win7旗舰版中的IIS配置asp.net的运行环境

Win7旗舰版中的IIS配置asp.net的运行环境以前弄过好多次，都没有成功，昨天晚上不知怎么地就成功了，借用我同学的一句话，这叫“灵光一闪”，废话不多说了，这个成功是有图有视频有真相地哈！这篇博文发表都三个月了，我自认为算是很详细了，可是还是很多人没有配置出来（天天有人在群里问我怎么配置），所以今天特意录成视频供大家参考。特意申明：这是配置asp.net运行坏境，不是asp，asp

2014-01-20 22:18:37 672

转载 IIS怎样安装与配置

步骤/方法 IIS的安装与配置。安装IIS。若操作系统中还未安装IIS服务器，可打开“控制面板”，然后单击启动“添加/删除程序”，在弹出的对话框中选择“添加/删除Windows组件”，在Windows组件向导对话框中选中“Internet信息服务（IIS）”，然后单击“下一步”，按向导指示，完成对IIS的安装。（图例如下图1、图2由于白茶123使用的是WindowsSe

2014-01-20 22:14:19 688

转载怎样在IIS下配置PHP

在IIS下配置PHP，一共4大步骤。步骤/方法首先下载Windows的PHP安装包。随后将该包解压至C:\PHP。完成上面的步骤后，将C:\php目录下的php.ini-dist文件改名为php.ini，然后拷到C:\Windows目录下。　　用记事本打开C:\Windows目录php.ini文件php.ini里找到register_globals

2014-01-20 22:10:48 562

转载 iis配置多个网站，iis绑定多个域名

iis配置多个网站,iis绑定多个域名?这个问题,现在大多数不会整VPS的朋友,都会去帮手来解决,其实,没有必要拉,小伙伴;下面我来分享一个简单的操作;如图示：可以看到，上面挂了两个网站，并且端口都是80，那么这个功能是如何实现的呢？这个与LINUX虚拟主机是一样的原理;操作如图所示：打开IIS，网站，高级，选择－－添加－－端口:80--主机头填写：域名或A记录；如上操作，

2014-01-20 22:05:37 5712