SEOSERVISE - Защита сайтов от хакеров, защита от взлома.

 
   
 

Главная


 


Syspermissions Содержит информацию о разрешениях, установленных для пользова­телей, групп и ролей. Содержит описание разрешений, назначенных учетным записям безо­ пасности с помощью операторов GRANT и DENY . Systypes Содержит описание всех системных и пользовательских типов данных, используемых в заданной базе данных. Эта информация облегчает анализ внутренней структуры базы данных. Sysusers Содержит перечень всех пользователей Windows и SQL Server , имею- щих доступ к базе данных. Use mydb; select * from sysusers;. Эти системные и пользовательские таблицы могут оказаться настоящей находкой для злоумышленника, который решил прибегнуть к атаке с применением кода SQL . Более подробно подобные атаки рассматриваются в последующих главах. Стандартные системные функции и функции манипулирования метаданными Поскольку в Microsoft SQL 2000 поддерживается язык Transact - SQL , то им предос­ тавляется огромный набор простых функций, которые можно вызывать непосредст­венно в строке SQL -запроса и получать нужную информацию. Вот краткий список наиболее полезных функций. Возвращает идентификатор ( ID ) базы данных. Например : select db id(); или use mydb; select db_id(). Возвращает имя используемой в данный момент базы данных. Эта функция позволяет определить, какая база данных используется по умолчанию. Например: select dbnamei );. Возвращает имя файла для заданного идентификатора ( ID ). Эту функцию полезно использовать для получения списка всех файлов одной базы данных. Например : select; или use mydb; select file_name(l);. Возвращает системную дату и время, select getdate () Возвращает имя объекта базы данных. Эта функция полезна для получения списка различных объектов базы данных, select object name ( l ); или use mydb ; select Setuser < user > Позволяет переключиться в режим другого пользователя. Однако эту функцию можно использовать, если для текущего пользователя определена роль sysadnin currentuser Возвращает имя текущего пользователя. Эту функцию полезно использовать для идентификации пользователя, выполняющего запро­ сы к базе данных, — select current user ;. Для взломщика приведенные выше функции языка Transact - SQL могут ока­ заться весьма полезными. Стоит заметить, что это внутренние функции Microsoft SQL Server 2000 и удалить их нельзя. Поэтому при обработке пользовательских запро­сов нужно должным образом отфильтровывать ненужные данные. Это будет неодно­кратно повторяться на протяжении всей книги.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |