脱库和删库的实践及解决方案

已于 2022-06-20 16:27:35 修改
阅读量5.8k 收藏 2
点赞数 4
分类专栏: 安全 文章标签: 运维开发 mysql 安全漏洞
于 2021-02-03 15:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/113607697
版权

文章目录

引言

只有经历过被脱库和删库的开发运维人员才是一个优秀的技术人员。

1.定义

脱库:它属于来自外部恶意攻击。
删库:它属于是来自内部开发或运维人员的bug。

2.背景

但是在项目的业务是十分复杂,在一些紧急情况下还是很难避免需要直接操作数据库进行调试。
1.只要时间跨度足够长,运维及开发人员操作数据库就肯出现疏忽的很大可能性。
2.我们开发项目的业务中还会出现各种各样的可能,包括活动漏洞数值漏洞等等,导致需要回档的运营事故并不罕见。

3.解决方案

3.1预防方案

  • 只有代码能够读写数据库:在生产环境的数据库不允许直接操作,不提供并且不使用任何数据库管理工具或者命令行工具。
  • 修改数据库结果要求通过有版本检查的脚本。
  • 当然代码和脚本都必须通过stage环境的充分测试。

3.2 事故预案

我们在项目中更加需要的是事故预案,而不是预防方案。以达到让删库之后也可在尽量短的时间恢复:

  • 保证数据库做定期备份。
    对于中等规模的线上业务,我们都要求使用阿里云的RDS数据库服务,并必须启用数据库快照功能。
  • 新时代用新解决方案。对于大型项目,使用一些支持秒级回滚或事物(Transaction)级回滚的数据库。
    例如AWS的Aurora和PingCAP的TiDB等。
  • 如果一定要使用公司项目自己维护的数据库,必须开启binlog和制作定时备份的脚本。
  • 进行回滚演习。
    不管使用哪个方案,演习一次删库回滚。尽量让回滚过程文档化,脚本化。确认回复方案的可行性和稳定性,不会因为时间环境改变导致恢复方案不可用。恢复时间在运营可接受的范围内。
小道安全
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
《网络安全自学教程》- MySQL脱库原理和步骤
wangyuxiang946的博客
02-22 1万+
MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
【GNN】图技术在美团外卖下的场景化应用及探索
发现问题,并解决问题,批判性思维
09-09 832
对于高频用户,可能会导致兴趣圈封闭导致模型建模无法跳脱既有的兴趣圈;对于低频用户,由于信息的缺乏导致其兴趣刻画不完整。因此,我们需要具备拓展用户兴趣边界的信息扩展能力、对单点信息的扩充能力;即寻找一种的数据结构,打破二维线性限制,实现三维立体扩展,基于此种想法,从图的角度来重思考用户行为建模:==以私域线性行为序列作为兴趣刻画基础,以公域全局互联关系图作为兴趣补充==,建立个体差异性与群体共性的连接。
脱库了解一下
10-14
适用于小白,和开发人员了解的网络安全知识,防sql注入风险。
(转载)你的个人信息是如何被盗走的?MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
moose_killer的博客
02-26 5446
一、什么是脱库脱库」是指,利用网站的漏洞,获取数据库中的全部用户信息。 比如某银行数据泄露,泄露的信息包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。 我们平时接到的诈骗电话,对方知晓我们所有的个人信息,他们的信息来源可能就是某网站的数据泄露;当然,并不是所有的诈骗电话都是源于数据泄露,比如 我……秦始皇……打钱! 脱库有一个前提,那就是网站存在SQL注入漏洞。 我们举个栗子,你暗恋你们校花很久了,这天,你发现你们学校官网存
脱库&站库分离渗透&解决MySQL禁止外连
Love&Share
11-22 1万+
文章目录打包数据库文件SQL语句打包数据库MySQLSQL server使用工具打包数据库站库分离渗透站库分离判断方法站库分离利用思路推荐阅读站库分离打包数据库解决MySQL禁止外连蚁剑Navicat tunnel隧道 打包数据库文件 access 数据库:mdb格式直接下载 MySQL数据库:在路径mysql/data/下存放所有数据库,直接将文件夹复制到web目录tar打包下载 mssql数据库:msdbdata.mdf msdblog.ldf 两个文件复制,直接下载 SQL语句打包.
脱壳八大法
z1103758的博客
03-29 5394
ESP定律 1.OD载入 2.F8寄存器窗口找到红色ESP 3.右键数据窗口跟随 4.选中数据硬件访问 5.F8到OEP,从模块中删除分析 6.F8右键 用OllyDump脱壳 单步跟踪法 1.OD载入 2.F8到有跳空运行记录下来,重运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点法(内存镜像法) 1.OD...
数据仓库理论知识
默主归沙的博客
06-06 3562
通常数据仓库的数据来自各个业务应用系统。业务系统中的数据形式多种多样,可能是 Oracle、MySQL、SQL Server 等关系数据库里的结构化数据,可能是文本、CSV 等平面文件或 Word、Excel 文档中的数据,还可能是 HTML、XML 等自描 述的半结构化数据。这些业务数据经过一系列的数据抽取、转换、清洗,最终以一种统一的格式装载进数据仓库。数据仓库里的数据作为分析用的数据源,提供给后面的即席查询、 分析系统、数据集市、报表系统、数据挖掘系统等。这时我们就想了,为什么不能把业务系统的数据直接
数仓建设(离线和实时)
ashan
02-26 5067
文档大纲: 一、数仓基本概念 1. 数据仓库架构 我们在谈数仓之前,为了让大家有直观的认识,先来谈数仓架构,“架构”是什么?这个问题从来就没有一个准确的答案。这里我们引用一段话:在软件行业,一种被普遍接受的架构定义是指系统的一个或多个结构。结构中包括软件的构建(构建是指软件的设计与实现),构建的外部可以看到属性以及它们之间的相互关系。 这里参考此定义,把数据仓库架构理解成构成数据仓库的组件及其之间的关系,画出下面的数仓架构图: 数仓架构 上图中显示的整个数据仓库环境包括操作型系统和数据仓
这次一定要教会你搭建Redis集群和MySQL主从同步(非Docker)
Java笔记虾
11-08 1625
前言 一直都想自己动手搭建一个Redis集群和MySQL的主从同步,当然不是依靠Docker的一键部署(虽然现在企业开发用的最多的是这种方式),所以本文就算是一个教程类文章吧,但在动手搭建之前,会先聊聊理论的东西,以便于大家有一个集群和主从同步的概念,如果有同学不了解Redis和MySQL,可以看一下我之前的两篇文章。 Redis由浅入深深深深深剖析 从入门到入土:令人脱发的数据库底层设计...
软件和需求的实践
沙振中
12-21 3358
软件和需求的实践一、软件和需求1.从猴子说起有这样一个笑话:一个旅客走进硅谷的一家宠物店,浏览展示的宠物。这时,走进一个顾客,对店主说:“我要买一只C猴。”店主点了点头,走到商店一头的兽笼边,抓出一只猴,递给顾客说:“总共5000美元。”顾客付完款,然后带走了他的猴子。这位旅客非常惊讶,走到店主跟前说:“那只猴子也太贵了”!店主说:“那只猴子能用C编程,非常快,代码紧凑高效,所以值那么
撞库、脱库和洗库是什么意思
Alone的博客
03-24 8253
SQL Server 数据库创建与删除
zyypjc的博客
10-21 5569
一般安装完SQL SERVER数据库后我们第一件想到的事情就是需要创建一个的数据库并且如果不需要时候如何删除它。创建/删除数据库的方法在 SQL Sever 中主要有两种,即SSMS图形化以及T-SQL方式。本文我们将详细介绍下这两种方式,所用数据库版本为SQL SERVER 2016。
漫话:如何给女朋友解释什么是撞库、脱库和洗库?
weixin_43167418的博客
03-23 1301
最近,安全圈又有一个大闻,微博名为@安全_云舒的微博用户在发文称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的...
程序员必备技能----删库跑路大总结
最新发布
weixin_54449574的博客
02-22 662
免责申明:纯属技术总结,勿模仿,造成一切后果和刑事责任与博主无关!删库跑路大总结,各个都是大杀器,破坏性太大,轻易不要尝试。
删库跑路技巧 删库跑路命令
热门推荐
twelvecoder
04-23 4万+
1. Linux操作系统上的删库跑路 # 删除根目录下所有文件,杀伤力极大,请谨慎使用 # 此命令一出,Linux根目录下很多文件,可以能彻底从这个星球上彻底消失了 rm -rf /* # 指定路径删除,菜刀可以用来做菜亦可以用来s人 rm -rf /home/fileName 2. sql上的删库跑路 此部分杀伤力就没有第一部分十足了,当时依然需要跑路 # 删除数据库 # 删除后可能会遗留日志...
删除数据库
king220022的博客
10-24 352
DROP DATABASE IF EXISTS database_name语句表示的含义为:当MySQL中存在database_name数据库时,删除database_name数据库;当MySQL中不存在database_name数据库时,忽略删除语句。当删除一个不存在的数据库时,DROP DATABASE database_name语句会报错,这里再次删除不存在的goods数据库。注意:在实际工作中,建议使用DROP DATABASE IF EXISTS database_name语句删除数据库。
linux安装node和达梦数据库8
bch-q的博客
09-24 1056
本次测试只是为了项目需要,但是在部署和启动程序的时候发生了一系列的报错,由此记录下来为日后作参考
删库是不可能删库的,这辈子是不可能删库
zekdot的博客
09-28 6970
知乎话题:不小心删库是一种怎样的体验 一、引言 读完了知乎上对于“删库”这个话题下面的讨论,我感受颇深,“删库”这两个字虽然最近已经成为了计算机专业的学生或工作人员开玩笑的常用词汇,但与此同时,这其实也是一个严肃的安全问题。 删库这个操作没有太大的难度,但造成的损失确实巨大的,尤其是对于一些大型公司,他们的数据有很高的含金量,删库这种操作会对他们造成巨大的损失: “某机场请了一个大牛DB...
mysql基础之MySQL 如何删除数据库
m0_37449634的博客
06-19 4937
mysql基础之MySQL 如何删除数据库 使用普通用户登陆 MySQL 服务器,你可能需要特定的权限来创建或者删除 MySQL 数据库,所以我们这边使用 root 用户登录,root 用户拥有最高权限。 在删除数据库过程中,务必要十分谨慎,因为在执行删除命令后,所有数据将会消失。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值