pwdcompare_使用PWDCOMPARE功能对SQL登录进行安全性测试

最新推荐文章于 2021-01-30 05:07:06 发布
最新推荐文章于 2021-01-30 05:07:06 发布
阅读量715 收藏
点赞数
文章标签: 数据库 python java mysql 安全
原文链接:https://www.sqlshack.com/security-testing-sql-logins-with-the-pwdcompare-function/
版权

pwdcompare

In this article, we’ll look at using the built-in PWDCOMPARE function in SQL Server for security testing passwords. While this tool may seem like it exposes a weakness in Microsoft SQL Server because we can test for passwords, it should be of note that an attacker could do the same attack by attempting to login to our database server assuming the attacker was able to access a connection to it. Therefore, this function does not increase the risk of an attack on SQL Server but does help us identify possible weaknesses in our environment so that we can quickly mitigate these risks. In addition, we’ll also combine this with other related tools in SQL Server to help us with logins.

在本文中,我们将研究如何使用SQL Server中的内置PWDCOMPARE函数进行安全性测试密码。 尽管此工具似乎可以揭露Microsoft SQL Server的弱点,因为我们可以测试密码,但应注意,攻击者可以通过尝试登录我们的数据库服务器来进行相同的攻击,前提是假定攻击者能够访问连接到它。 因此,此功能不会增加对SQL Server进行攻击的风险,但是可以帮助我们确定环境中可能存在的弱点,以便我们可以快速缓解这些风险。 此外,我们还将把它与SQL Server中的其他相关工具结合起来,以帮助我们进行登录。

了解功能 (Understanding the function)

For our security testing, we’ll look at the first two parameters – the actual password (“clear_text_password”) we want to test and the password hash (“password_hash”). Microsoft declared that they will be deprecating the third optional parameter of version, so we will not use this and it should be avoided since it will be removed in a later version of SQL Server. If the two parameters match, our output will result in a 1 whereas if they do not match, our output will result in a 0.

对于我们的安全性测试,我们将查看前两个参数–我们要测试的实际密码(“ clear_text_password”)和密码哈希(“ password_hash”)。 Microsoft声明他们将弃用version的第三个可选参数,因此我们将不使用它,并且应避免使用它,因为它将在更高版本SQL Server中删除。 如果两个参数匹配,则输出将为1,而如果它们不匹配,则输出将为0。

创建测试登录 (Creating logins for testing)

Before security testing common passwords, we’ll create six logins with common password forms – some of these use name with numbers and some use the “password” with a number combination. Both of these are unfortunately common because they’re easy to memorize. First, we’ll check to ensure that none of these six logins exist – the below query should return 0 records:

在对通用密码进行安全性测试之前,我们将创建六个具有通用密码形式的

最低0.47元/天 解锁文章
culuo4781
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mssql未公开加密函数pwdencrypt,pwdcompare
07-06 548
pwdencrypt,pwdcompare pwdencrypt 实现对输入数据进行加密后返回二进制形式的加密内容 select @aa=pwdencrypt('xdq') pwdcompare用于检查明文是否与加密的二进制数据内容相等。 select @bb=pwdcompare('xdq',@aa) 得出结果 @bb=1 这是二个SQLServer未公开的函数,主要是用于SQLServer内部自己调...
SQL Server 数据库中加密数据须知
03-03
SQL Server提供了内置的加密功能,但并非所有功能都适用于高安全性需求。例如,`pwdencrypt()`和`pwdcompare()`这两个函数虽然用于密码管理,但由于其哈希算法不安全,容易受到字典攻击,因此不应作为主要的加密手段...
sql server 加密函数组:pwdcompare PWDENCRYPT
做好自己的工作盡力幫助需要的人
07-23 1375
这两个函数是sql server内部使用的加密函数,微软未公布其用法。也无法找到相关文档。   根据网上查到,這兩個 Function 在 SQL 2000, 2005, 2008 都可以使用,只是我也發現了一些不同的 SQL Server 版本之間在使用這兩個 Function 時的小差異: 使用 PWDENCRYPT 時 SQL 2000 與 SQL 2005/2008 加密過後的
SQL Server中的密码处理函数pwdencrypt和pwdcompare
weixin_33790053的博客
03-01 211
摘自论坛: declare @pwdsave varbinary(256) set @pwdsave=pwdencrypt( 'abc ') -- 设置密码(加密) if pwdcompare( 'abc ', @pwdsave, 0) =1 -- 判断输入的密码是否与设置的密码一样 print...
mysql pwdcompare_SQL Server中的密码处理函数pwdencrypt和pwdcompare
weixin_33291684的博客
01-30 253
摘自论坛:declare @pwdsave varbinary(256)set @pwdsave=pwdencrypt( 'abc ') -- 设置密码(加密)if pwdcompare( 'abc ', @pwdsave, 0) =1 -- 判断输入的密码是否与设置的密码一样print 'password "abc " ok...
pwdencrypt and pwdcompare
weixin_34023863的博客
11-02 216
--SQL SERVER 本身也提代加密密码的函数:  --pwdencrypt ,pwdcompare    CREATE   TABLE Users     (       UserID VARCHAR(10) ,       UserPW VARBINARY(256)     ) INSERT  INTO USERS VALUES  ( 'TestUser1', pwdencrypt('Te...
SQL语句数据加密函数及示例.sql
11-05
利用SQL 数据库pwdencrypt pwdcompare 函数加密字串
未公开的SQL Server口令的加密函数
09-14
SQL Server中,数据库安全是至关重要的,而用户账户的密码保护则是安全体系的重要一环。本文将深入探讨SQL Server中未公开的口令加密...理解并合理使用这些加密函数,对于维护SQL Server数据库系统的安全性至关重要。
经典SQL语句大全
12-20
13、对数据库进行操作: 分离数据库: sp_detach_db; 附加数据库:sp_attach_db 后接表明,附加需要完整的路径名 14.如何修改数据库的名称: sp_renamedb 'old_name', 'new_name' 二、提升 1、说明:复制表(只复制...
MySQL:常用基本SQL语句小结
03-19
进行数据库操作时,掌握基本的SQL(Structured Query Language)语句至关重要。本篇文章将总结一些常用的MySQL SQL语句,帮助你更好地理解和运用。 一、数据库操作 1. 创建数据库: ```sql CREATE DATABASE ...
SQL SERVER 本身也带加密密码的函数
杨泽博客
01-04 424
--SQL SERVER 本身也带加密密码的函数: --pwdencrypt ,pwdcompare declare @logintable table(username varchar(20),passwd varbinary(256)) insert @logintable(username,passwd) values('you...
几则SQLServer操作技巧
anbangs的专栏
09-02 355
<br />1)按姓氏笔画排序<br />select * from TableName order by ColumnName Collate CHINESE_PRC_STROKE_CI_AS<br />2)数据库加密函数<br />select encrypt('原始密码')<br />select pwdencrypt('原始密码')<br />select pwdcompare('原始密码','加密后密码') = 1--相同;否则不相同 encrypt('原始密码')<br />select pwd
SQLServer中数据加密方法
热门推荐
博客人生——过生活、谈技术
02-29 1万+
SQLServer中的数据进行加密,有三种方法,1、  在程序语言中先对数据进行加密后再把加密后的数据保存在SQLServer数据库中;2、  利用SQLServer未公开的加密密码函数,在SQL代码中调用加密密码函数对数据进行加密后保存;3、  编写扩展存储过程的外部DLL文件实现加密,然后由SQL代码调用加密功能实现数据加密。 第一种方法就不再描述,利用第二种方法加密数据
SqlServer基本语法,备份还原+实例(有借鉴意义)
霜知坚冰的专栏
10-09 1704
得到数据库路径 select     *   from   sysfiles  1、说明:创建数据库 CREATE DATABASE database-name  2、说明:删除数据库 drop database dbname 一、指定逻辑备份设备
SQL实用技巧:日期转换、排序与数据操作
2. 按姓氏笔画排序 - 在MS-SQL中,可以使用`Collate`关键字进行中文排序,如`Select * From TableName Order By CustomerName Collate Chinese_PRC_Strok e_ci_as`,这有助于按照汉字的笔画顺序对姓名进行排序。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值