安全
文章平均质量分 64
whyabc
这个作者很懒,什么都没留下…
展开
-
企业应当如何应对SQL注入式攻击
对于使用MSSQL数据库的网站来说,如果没有对进行防御那么将受到致命的打击。关于对付SQL注入攻击的方法已经有许多讨论,但是为什么还是有大量的网站不断地遭受其魔掌呢?安全研究人员认为,现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候,从而减轻与注入攻击相关的风险。笔者在此介绍的这些方法未必是革命性的创举,但是又有多少企业真正按照要求全面地实施这些方法呢?下面,我们将一一谈论这些方法:转载 2014-01-25 11:52:19 · 526 阅读 · 0 评论 -
了解数据库安全审计工具(上):什么是数据库审计
审计是规则遵从和安全计划的核心组成部分,也是目前IT部门中普遍实行的做法。关系数据库是第一款嵌入审计功能、并将其作为本地平台功能的企业级应用程序。然而,这次尝试却给审计带来了不好的名声。厂商只是提供了最基本的功能,却没有给数据库管理员提供所需要的性能和易管理性,因此管理员们至今仍对审计功能感到厌恶,并依旧抵制使用数据库审计跟踪功能。数据库管理员对本地审计功能感到厌恶是有其合理性的:本地审计的性转载 2014-01-25 11:55:45 · 1804 阅读 · 0 评论 -
解析数据库安全审计
数据库安全现状大学数据库原理教科书中,数据库是这样被解释的:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。数据库转载 2014-01-25 12:02:51 · 1095 阅读 · 0 评论 -
专家讲解数据库安全 防范黑客入侵技术综述
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:⑴ 网络系统层次; ⑵ 宿主转载 2014-01-25 12:09:31 · 782 阅读 · 0 评论 -
从IIS到SQL Server数据库安全
从codered到nimda等,一大堆蠕虫把原来需要人工利用的漏洞都变成了程序自动利用了,大家还想去手工操作这些IIS漏洞么?让我们调整重心,去看看服务器常用的数据库吧。一般网站都是基于数据库的,特别是ASP、PHP、JSP这样的用数据库来动态显示的网站。很多网站可能多注意的是操作系统的漏洞,但是对数据库和这些脚本的安全总是忽略,也没有太多注意。从最比较普遍的脚本问题开始,这些都是转载 2014-01-26 19:45:45 · 578 阅读 · 0 评论 -
简单三步走堵死SQL Server注入漏洞
SQL注入是什么?许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。网站的恶梦——SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用转载 2014-01-26 19:46:04 · 592 阅读 · 0 评论 -
SQL Server:安全设计从头起
最基本的要点如果你不能理解SQL Server security基本的概念,就马上先停止开发并先阅读这些开发准则,你不可能在不知道这些概念的基础上就能够正确地使一个数据库安全化。程序的安全正如一辆卡车一样。你具有一个发动机,一把钥匙,当钥匙打开发动机即发动机启动之后,就有可能发生的全部过程。如果你忽略了某些细节,驾驶过程中就会发生很多麻烦。在问题产生之后,你可以将卡车交给一个修理工,然而对于程转载 2014-01-26 19:45:35 · 574 阅读 · 0 评论 -
把SQL Server放入保险箱
安全模式简介从系统结构上来讲SQL Server有两种安全模式。第一种是“仅Windows”模式,这种模式只允许拥有受信任的Windows NT账户的用户登录,是SQL Server默认的安全模式,也是较安全的选项,用户登录SQL Server的前提是该用户使用Windows NT的域账户登录Windows操作系统。另一种是“SQL与Windows用户身份验证”模式,是在SQL Ser转载 2014-01-26 19:46:14 · 584 阅读 · 0 评论 -
数据库安全审计
用以下的方式可以监控登入登出的用户: 创建如下的两张表: create table login_log -- 登入登出信息表(session_id int not null, -- sessionidlogin_on_time date, -- 登入进间 login_off_time date, -- 登出时间 user_in_db varchar2(30), -- 登入的db转载 2014-01-26 19:45:55 · 867 阅读 · 0 评论 -
Microsoft SQL Server SA弱口令攻防实战
Microsoft SQLServer是一个c/s模式的强大的关系型数据库管理系统,应用领域十分广泛,从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。我们都知道,在网络中Microsoft SQLServer的入侵最常见的就是利用SA弱口令入侵了,而核心内容就是利用Microsoft SQLServer中的存储过程获得系统管理员权限,那到底什么是存储过程?为什么利用它可以获得系转载 2014-01-26 19:46:22 · 769 阅读 · 0 评论 -
客户端不可信,服务器端也要做验证
客户端验证不能代替服务器端验证用户可以直接向服务器发Http请求(比如直接在地址栏中构造请求数据,绕过客户端浏览器检查来干坏事。客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求。一个都不能少。jQuery Validator+服务器端校验是不错的开发模式。记住数据可以改哦客户端藏起来、不显示也不一定安全。不要轻信用户提交上来的数据:比如控制原创 2014-02-22 15:38:28 · 4152 阅读 · 0 评论 -
asp.net防类似DDOS攻击(CC攻击)代码
Web.config using System;using System.Web;using System.Collections.Generic;using System.Collections.Specialized;using System.Timers; namespace UrlRewriter{ /// /// 阻止攻击转载 2014-07-27 09:45:31 · 1279 阅读 · 1 评论 -
antixss使用
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。AntiXSS最新版的下载地址:http://wpl.codeplex.com下载安装之后,安装目录下有以下文件:AntiXSS.chm: 包括类库的操作手册参数说明。AntiXSSLibrary.dll: 包含Antixss,Encoder类(输出转义原创 2014-11-26 22:42:19 · 6521 阅读 · 0 评论 -
ASP.NET 安全(一)
防范黑客攻击您的 ASP.NET 应用程序Adam Tuliper 主流媒体几乎每天都会报道又一个站点遭到了黑客攻击。如果持续受到黑客高手群体入侵,开发人员会怀疑这些群体是否在使用高级技术执行他们的危害工作。虽然某些现代攻击可能会十分复杂,但大部分有效攻击通常很简单并且多年来一直在使用。幸运的是,此类攻击通常都能轻松防范。我将用两篇文章的篇幅概述一些转载 2014-11-26 22:25:10 · 1184 阅读 · 0 评论 -
数据库管理系统安全:数据仓库的优势
问:我们公司正在想办法扩展现有的数据库管理系统(DBMS)基础设施,而且我们也在考虑如何以最佳方式来处理遗留数据的问题。为什么一家公司必须得把数据库和数据仓库分开呢?为什么不能只用一个大型数据库来存储当前的和历史的所有数据呢?把所有数据都存储在同一个数据库中,会不会产生重大的安全问题?答:我之所以要强烈建议你不要把所有数据都移到一个大型数据库中,主要有以下几个原因。首先,如果你把所有数据都放在转载 2014-01-25 11:49:53 · 810 阅读 · 0 评论 -
数据库应用安全:如何平衡加密与访问控制
通常情况下,公司一些最敏感的数据存储在数据库中。这些数据包括医疗记录、员工记录、信用卡号码、社会保障号码等,它们受隐私法规的监管,必须加以保护。然而,与此同时,公司必须在敏感数据的安全性与可用性之间进行折中,以满足因合法的商业使用而访问这些数据的需求,包括为保持业务连续性而进行的备份和远程复制。最强大的数据隐私保护技术是加密。但是,为了既切实保证敏感数据的安全性而又不影响业务的连续性,使用加密转载 2014-01-25 11:47:21 · 1203 阅读 · 0 评论 -
数据库调查取证工具:DDLDUMP和Data Block Examiner
最近,,被黑的根源则在于SQL注入攻击--这个被认为是呈下降趋势的漏洞现在变成了数据库安全的责任人。 抵御SQL注入攻击很重要的一点便是:如何去了解是什么攻击了你或是攻击来源于哪里。这就是数据库攻击取证之所以重要的原因。DDLDUMP和Data Block Examiner是两个能够帮助你完成这项取证任务的工具。DDLDUMP:DDL数据定义语句,一个由计算机语言所定义的数据结构。DD转载 2014-01-25 12:00:20 · 1758 阅读 · 0 评论 -
了解数据库安全审计工具
审计是规则遵从和安全计划的核心组成部分,也是目前IT部门中普遍实行的做法。关系数据库是第一款嵌入审计功能、并将其作为本地平台功能的企业级应用程序。然而,这次尝试却给审计带来了不好的名声。厂商只是提供了最基本的功能,却没有给数据库管理员提供所需要的性能和易管理性,因此管理员们至今仍对审计功能感到厌恶,并依旧抵制使用数据库审计跟踪功能。数据库管理员对本地审计功能感到厌恶是有其合理性的:本地审计的性转载 2014-01-25 11:54:45 · 982 阅读 · 0 评论 -
了解数据库安全审计工具(下):什么是数据库审计
数据库审计工具及其应用程序有四种基本平台可以用于创建、收集和分析数据库审计,它们是:本地数据库平台、系统信息/事件管理及其日志管理、数据库活动监控和数据库审计平台。1. 本地审计:指的是使用本地数据库来进行数据获取,但使用数据库系统本身对事件进行存储、分类、过滤和报告。IBM、微软、甲骨文和Sybase针对这种情况都提供各自不同的解决方案,但本质上都是去获取相同的信息。虽然数据通常存储在数转载 2014-01-25 11:56:26 · 2198 阅读 · 0 评论 -
认识数据库安全威胁 保护数据安全(1)
数据库安全威胁 1 - 滥用过高权限当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。数据库安全威胁 2 - 滥用合法权用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病转载 2014-01-25 11:59:27 · 831 阅读 · 0 评论 -
如何避免数据库行为监控系统部署问题
在部署数据库行为监控(DAM)系统时有两个最常见的问题:数据采集的准确性问题和DAM系统的性能问题。这篇文章,我们将讨论如何避免掉入DAM的上述陷进中。不当的监控方式会影响审计的准确性DAM产品一个经常被忽视的缺点就是网络监视。对于非关键的数据库基础设施,通过网络监视采集SQL行为是可行的。但如果出于合规需要,则最好选择代理型的DAM产品。这类产品通过在数据库平台上安装代理来检测所有的数据转载 2014-01-25 12:02:15 · 595 阅读 · 0 评论 -
考虑SQL Server安全时所应注意的几个方面
安全性问题一直DBA是比较关心的问题,因为建立数据库的目的就是让相关的的客户端来进行访问,所以很难避免不出现安全隐患,例如客户端链接的权限、数据传输过程中的安全等问题,所以大家在考虑SQL Server服务器安全的同时时,必须留意以下几个方面:第一方面:客户端安全:首先需要保证客户端必须是安全的,例如需要为你的客户端安装防病毒软件,防火墙,安装升级补丁等。 第二方面:数据传输过转载 2014-01-25 12:12:14 · 734 阅读 · 0 评论 -
专家谈:确保安全 数据库审计成燃眉之急
随着信息系统业务不断发展,数据库系统应用范围越来越广。企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。 已成燃眉之急由于数据库的作用和影响越来越大,企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题。威胁与风险并存由于企业数据库系统用户众多,涉及数据库管理员、内部员工及合作方人转载 2014-01-25 12:14:24 · 640 阅读 · 0 评论 -
Java中3DES加密与C#兼容
附 :近日的项目是与其他公司进行合作开发的,在传输密码时对方提出用3DES加密方式进行加密。对方提供了BASE64编码的key和向量IV,其使用的是C#语言,在进行3DES加密时使用的是CBC模式,Zeros填充方式。而我方使用的是java语言。在Google一番后发现,两种语言之间有两种兼容方式:1.C#采用CBC Mode,PKCS7 Padding,Java采用CBC Mod转载 2014-01-25 11:05:51 · 913 阅读 · 0 评论 -
如何在SQL Server数据库中加密数据
如何在SQL Server数据库中加密数据为了防止某些别有用心的人从外部访问数据库,盗取数据库中的用户姓名、密码、信用卡号等其他重要信息,在我们创建数据库驱动的解决方案时,我们首先需要考虑的的第一条设计决策就是如何加密存储数据,以此来保证它的安全,免受被他人窥测。SQL Server中有哪一种支持可以用于加密对象和数据?从一开始就讨论一下SQL Server欠缺什么是明智的,或者是转载 2014-01-25 11:15:07 · 1338 阅读 · 0 评论 -
金融行业数据库项目经验分享
创新性应用 ――在银行的关键应用中使用国产数据库 众所周知,银行对于数据安全性和系统稳定性的要求无疑是最高的,在这种高标准的要求下,我们敢于尝试敢于创新,在为华夏银行开发的“华夏银行运行资金与资源管理系统”中使用了由北京大学开发的国产数据库。此系统集资金流、工作流、物流于一体,以资金流为主线、以工作流为驱动、以物流为产物,全面管理银行的预算资金、项目、公文、固定资产,系统采用大集中模式转载 2014-01-25 11:40:55 · 4954 阅读 · 0 评论 -
三大措施设置数据库安全 保障网站安全运营
数据库,网站运营的基础,网站生存的要素,不管是个人用户还是企业用户都非常依赖网站数据库的支持,然而很多别有用心的攻击者也同样非常“看重”网站数据库。 对于个人网站来说,受到建站条件的制约,Access数据库成了广大个人网站站长的首选。然而,Access数据库本身存在很多安全隐患,攻击者一旦找到数据库文件的存储路径和文件名,后缀名为“.mdb”的Access数据库文件就会被下载,网站中的许多重要转载 2014-01-25 12:08:16 · 926 阅读 · 0 评论 -
数据库安全最佳实践:数据库审计工具调优
数据库管理员受命于创建审计记录以符合安全审计和合规审计的要求,但如果他们仅仅去阅读那些叙述如何进行数据库审计的标准操作手册的话,恐怕会很失望。数据库审计工具都有一些特殊的使用技巧,如果不花费时间合理地规划审计流程,使用这些工具可能会使得数据库运行性能遭受惨重打击。由于进行审计而导致数据库运行性能下降超过50%的例子并不少见。这也就意味着,看起来简单的审计工作可能最终会导致数据库变慢、表空间占满、收转载 2014-01-25 11:53:44 · 747 阅读 · 0 评论 -
数据库安全监控最佳实践:使用DAM工具
很少有比保护数据库及其存储的数据更加严峻的IT安全挑战了,尤其是针对最常用的数据库和Web应用程序的攻击:SQL注入。尽管关系型数据库管理系统(RDBMS)供应商、IT安全专家和应用程序开发人员都意识到了此类攻击,但问题依然存在,因为在不影响商业运作的前提下,这类攻击难以检测和阻止。更严重的是,SQL注入是攻击者能够完全控制关系型数据库的攻击手段之一。关系型数据库结构复杂,允许多种应用程序同时转载 2014-01-25 11:58:15 · 1815 阅读 · 0 评论 -
ASP.NET 安全(二)
保护您的 ASP.NET 应用程序Adam Tuliper 在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (转载 2014-11-26 22:27:01 · 1502 阅读 · 0 评论