一个权限的设置,你会混淆么

最新推荐文章于 2023-07-08 19:40:16 发布
最新推荐文章于 2023-07-08 19:40:16 发布
阅读量162 收藏
点赞数
文章标签: 数据库

实验环境;

1 创建一个schema

ContractedBlock.gif ExpandedBlockStart.gif Schema
CREATE SCHEMA [Sales] AUTHORIZATION [dbo]

 

2 创建两个表,一个视图,一个存储过程

ContractedBlock.gif ExpandedBlockStart.gif [Sales].[Customer]
CREATE TABLE [Sales].[Customer](
    [Customer_ID] [int] NOT NULL,
    [Customer_Name] [nvarchar](50) COLLATE SQL_Latin1_General_CP1_CI_AS NOT NULL,
 CONSTRAINT [PK_Sales.Customer] PRIMARY KEY CLUSTERED 
(
    [Customer_ID] ASC
)WITH (IGNORE_DUP_KEY = OFFON [PRIMARY]
ON [PRIMARY]
ContractedBlock.gif ExpandedBlockStart.gif [Sales].[CustomerContacts]
CREATE TABLE [Sales].[CustomerContacts](
    [Customer_ID] [int] NOT NULL,
    [Customer_Address] [nvarchar](50) COLLATE SQL_Latin1_General_CP1_CI_AS NOT NULL
ON [PRIMARY]

GO

ALTER TABLE [Sales].[CustomerContacts]  WITH CHECK ADD  CONSTRAINT [FK_CustomerContacts_Customer] FOREIGN KEY([Customer_ID])
REFERENCES [Sales].[Customer] ([Customer_ID])
ContractedBlock.gif ExpandedBlockStart.gif [Sales].[ContactList]
CREATE VIEW [Sales].[ContactList]
AS
SELECT     Sales.Customer.Customer_ID, Sales.Customer.Customer_Name, Sales.CustomerContacts.Customer_Address
FROM         Sales.Customer INNER JOIN
                      Sales.CustomerContacts ON Sales.Customer.Customer_ID = Sales.CustomerContacts.Customer_ID
ContractedBlock.gif ExpandedBlockStart.gif [Sales].[GetContact]
CREATE PROCEDURE [Sales].[GetContact]
AS
BEGIN
    -- SET NOCOUNT ON added to prevent extra result sets from
    -- interfering with SELECT statements.
    SET NOCOUNT ON;

    -- Insert statements for procedure here
    SELECT * from Sales.ContactList
END

 

3 创建一个login

ContractedBlock.gif ExpandedBlockStart.gif Login
CREATE LOGIN [SaleA] WITH PASSWORD=N'password', DEFAULT_DATABASE=[MyDB], DEFAULT_LANGUAGE=[us_english], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF

 

这个时候使用SaleA登录MyDB是没有任何权限的。执行下列命令会得到4个错误

ContractedBlock.gif ExpandedBlockStart.gif T-SQL
select * from Sales.Customer
select * from Sales.CustomerContacts
select * from Sales.ContactList
exec Sales.GetContact

错误信息:
Msg 229, Level 14, State 5, Line 1
SELECT permission denied on object 'Customer', database 'MyDB', schema 'Sales'.
Msg 229, Level 14, State 5, Line 2
SELECT permission denied on object 'CustomerContacts', database 'MyDB', schema 'Sales'.
Msg 229, Level 14, State 5, Line 3
SELECT permission denied on object 'ContactList', database 'MyDB', schema 'Sales'.
Msg 229, Level 14, State 5, Procedure GetContact, Line 1
EXECUTE permission denied on object 'GetContact', database 'MyDB', schema 'Sales'.

但是你如果赋予SaleA执行存贮过程的权限,你就可以得到访问到sp所对应的视图,视图所对应的表的内容了。

我开始是以为SaleA的权限应该包含试图的select权限的。唉,真是实践一下,才能知道不是这个样子的。

这样的设计应该是为了了管理的方便,如果需要级联权限,肯定会晕掉的,这样的简洁明了的方式之值得我们学习和应用到其他的设计中去的

 

weixin_34405557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WAF绕过-权限控制之代码混淆及行为造轮子
Rnan_prince的博客
08-05 297
免责声明:本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。 Safedog代码层手写及脚本绕过 变量覆盖,加密混淆,异或生成 BT Aliyun代码层手写及脚本绕过 编码解码(变量覆盖,加密混淆,异或生成) ASP,PHP,ASPX,JSP,PY等后门免杀同理 http://test.xxx.com/x.php?id=x mr6=cGhwaW5mbygpOw== http://te..
SQL server中模式的定义和删除
码农阿益的博客
05-22 2401
注· 在sql中创建模式,该用户需要获得其管理员权限,在本例中需要获得dbo权限 一、定义模式 语句:create schema <模式名> authorization <用户名> 案例: 为用户创建一个test模式 create schema test authorization dbo; 如果没用指定模式名则默认为用户名 create schema authorization dbo; 定义模式,实际上是定义了一个命名空间,在该空间可以定义数据对象,例如:基本表、视图、存储
官方推荐的android 6.0 权限获取方式(实例demo:easypermissions
狗尾巴草也开花的博客
11-24 4538
这里推荐逻辑是,android6.0权限获取,单个获取,多个获取,拒绝后再次获取,记住拒绝后引导用户转到权限设置界面手动获取权限,是的,就是要这样获取权限。比如一个扫码功能,用户不小心拒绝了你就不能这样放弃权限不再获取了吧。 首先献上一个sample的例子,知道大家都喜欢看demo,扫码下载demo体验 介绍: Android 6.0在我们原有的AndroidManifest.xml声明权限
Android EasyPermissions官方库,高效处理权限
liuqinhou的博客
10-07 1300
EasyPermissions
permissiongen权限管理混淆处理
dobiman的博客
11-21 1141
权限管理,PermissionGen,混淆
Android SO文件保护加固——混淆篇(一)源代码
09-26
为了提高应用的安全性,开发者需要对SO文件进行保护和加固,其中混淆是一种常用的技术手段。 混淆技术主要是通过改变代码的可读性和可理解性,使得恶意逆向工程师难以分析和理解代码逻辑。在Android SO文件保护中,...
基于Obfuscator-LLVM代码混淆工具在Xcode中集成,并记录针对代码混淆方案的实践过程
最新发布
群鸿
07-08 2545
Obfuscator-LLVM是一个基于LLVM编译器框架的代码混淆工具。它通过对源代码进行重写和变换,改变代码的结构和逻辑,从而使代码变得难以理解和分析。Obfuscator-LLVM可以对C、C++和Objective-C等语言的代码进行混淆处理。它采用了多种技术,如控制流平坦化、函数内联、代码替换、字符串加密和虚假代码插入等,以增加代码的复杂性和混淆度。这样一来,即使有人获取了混淆后的代码,也很难还原出原始的逻辑和算法。
Android studio 混淆配置详解
01-20
Proguard是一个强大的工具,它能执行四个关键操作:Shrinking(压缩)、Optimization(优化)、Obfuscation(混淆)和Preverification(预校验)。 **Shrinking** 是指删除项目中未使用的资源和代码,有助于减少APK...
第48天:WAF绕过-权限控制之代码混淆及行为造轮子1
08-03
WAF 绕过-权限控制之代码混淆及行为造轮子#Safedog 代码层手写及脚本绕过变量覆盖,加密混淆,异或生成#BT Aliyun 代码层手写及脚本绕过编码解码
iOS代码混淆
03-04
在iOS开发中,代码混淆是一种重要的安全措施,用于保护应用程序(App)的源代码不被逆向工程破解。本文将深入探讨iOS代码混淆的技术细节、手动加固与自动加固的区别以及实际应用案例,帮助开发者理解并实施这一关键...
EasyPermissions Android权限适配(带流程图)
木子的专栏
05-26 3897
前言 阅读前说明: 所有系统均为Android原生系统,其他国产ROM最后再讨论。 所有的申请都为主动触发,即主动点击申请按钮。 申请时,默认是没有权限的。 流程图中长方形中为方法名。 流程图 申请单个权限流程图 申请权限组流程图 申请混合权限(单个权限+权限组)流程图 具体流程=单个权限流程图+权限组流程图 代码中有例子,就不详细说明了。 ...
安卓学习笔记--- Android 6.0运行时权限的申请使用及EasyPermissions的使用
紫色飞鱼儿的博客
07-17 2400
最近在使用运行时权限,发现一些博客上说EasyPermissions这个库很好用,于是我便也开始看看。 官方文档: https://github.com/googlesamples/easypermissions 运行时权限官方文档解释: https://developer.android.com/training/permissions/requesting.html 为什么使
Android高效处理权限——EasyPermissions框架的使用
weixin_42046829的博客
02-27 1586
一、android6.0以后的危险权限介绍 (注意:Android O 8.0对于权限更加严格,下面说一下8.0) android6.0以后有些危险权限需要手动去授权,就有了运行时权限的处理。下面的表格就是危险权限组: 权限组名 权限名 CALENDAR 日历 READ_CALENDAR WRITE_CALENDER CAMERA 相机 CAMERA CO...
Google-EasyPermissions源码解析
xjbclz的专栏
10-23 2360
Google-EasyPermissions源码解析 时间 2016-04-24 18:20:38  yydcdut 原文  http://yydcdut.com/2016/04/24/easypermissions-analyse/ 主题 安卓开发 Github: easypermissions 分析版本: 962b99d EasyPermissions
EasyPermission完美解决Android6.0权限
jsonnan的博客
03-15 1374
github地址(Demo下载) https://github.com/zhouxu88/EasyPermission 一、简介: android6.0 开始,权限的申请发生了改变,申请变的动态化,也就是运行时权限EasyPermission 可以帮助简化权限申请的流程,同时使得代码更加具有逻辑。对申请的结果进行统一的返回。 而且当用户拒绝了权限,任然可以通过打开系统设置,手动授权
easypermissions 权限处理
钟情短发姑娘的博客
12-11 842
1.依赖 implementation 'pub.devrel:easypermissions:2.0.1' 2.定义自己要申请的权限 String[] PERMS = {Manifest.permission.INTERNET,//网络 Manifest.permission.WRITE_EXTERNAL_STORAGE,//写 ...
EasyPermissions的流程
weixin_33675507的博客
09-04 276
在app的build.gradle文件的dependencies中,添加依赖: implementation 'pub.devrel:easypermissions:1.3.0'   import android.Manifest; import android.content.Intent; import android.os.Bundle; import android...
android 混淆配置 实例实战项目讲解
狗尾巴草也开花的博客
11-23 5631
以前一直说混淆混淆。。。一直没有好好弄一次,经常弄个半成品,这次来个完全实例理解了 并注意,混淆打包后的apk文件大小比不使用混淆要小。首先理解下混淆语法-libraryjars class_path 应用的依赖包,如android-support-v4 -keep [,modifier,...] class_specification 不混淆某些类 -keepclassmembers
使用EasyPermissions 来打造简单的android6.0动态权限
baidu_33853807的博客
06-07 6754
EasyPermissions 的介绍 EasyPermissions 的使用 EasyPermissions 的下载EasyPermissions 的介绍EasyPermissions一个三方库,用于android6.0动态权限的使用。在android6.0版本中,涉及到权限问题的使用,都需要进行动态申请。EasyPermissions 的使用在build.gradle中dependencies
Android安全机制深度解析:代码混淆权限管理与数据库保护
Android的安全机制是一个全面且深入的话题,涵盖了代码混淆权限管理、数据库保护和网络通信等多个方面。开发者在构建Android应用时,需充分理解并实施这些安全措施,以保障用户的数据和设备安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值