SEOSERVISE - Защита информации.

 
   
 

Главная


 


Доступ к базам данным Базы данных являются неотъемлемой частью современного бизнеса. Независимо от того, хранятся ли данные в отдельном файле или для поддержки их целостности используется современная объектно-ориентированная база данных, необходимость хранения информации и обеспечение быстрого доступа к ней всегда были решающи­ ми факторами в любой сфере деятельности или приложении. И Web здесь не является исключением. Современные Web -приложения тесно связаны с базами данных. Они используются для хранения самой разной информации, начиная с пользовательских имен/паролей и заканчивая почтовыми адресами и данными о кредитных карточках. При глубоком анализе вопросов обеспечения безопасности в Web необходимо учитывать уровень ба­ зы данных и, что еще более важно, способы, с помощью которых взломщики пытают­ ся обойти ограничения приложений и получить доступ к важным данным. В этой главе обсуждается взаимодействие между Web -сервером и базой данных. Вы узнаете об изъянах, существующих в архитектуре приложений, которые позволяют взломщикам извлекать конфиденциальную информацию или, что еще хуже, удаленно выполнять команды. Прямые атаки на базы данных SQL Хотя это и не является главной темой данной главы, следует отметить, что к серверам Microsoft SQL Server и Oracle по умолчанию можно обращаться по се­ ти. Другими словами, если брандмауэр сконфигурирован неправильно, то взломщики смогут установить соединение с базой данных даже без использова­ ния Web -приложения. Хотя такая возможность редко предоставляется за пределами локальной сети, она создает идеальные условия для хакинга базы данных. Для удаленного взлома базы данных с использованием этого подхода нужно выполнить несколько простых дей­ ствий. Найдите систему с любым открытым портом, таким, как TCP и UDP 1434 ( Microsoft SQL Server ) или TCP 1521 ( Oracle ). Это можно осуществить с помощью любой из многочисленных утилит сканирования портов, в том числе и Fscan от компании Foundstone ( http :// www . foundstone . com ). Кроме того, для поиска SQL - серверов в определенном диапазоне IP -адресов можно воспользоваться таким средством, как SQLPing 2 от компании Chip Andrews ( http :// www . sqlsecurity . co *). Как видно из рис. 11.1, с помощью утилиты SQLPing 2 было обнаружено два SQL - сервера, установленных на узлах с адресами 192.168.0.8 и 192.168.0.9. Как только стало известно местоположение серверов в сети, можно попробовать по­ лучить к ним доступ. Для этого существует множество способов, однако проще всего воспользоваться утилитой osql . exe , входящей в комплект поставки SQL Server 2000 и Desktop Engine ( MSDE ). Для ее запуска используется следующий синтаксис: С:\> osql - S 192.168.0.8 -0 sa - P "" Login failed for user " sa " С помощью параметров командной строки - S (сервер), Ш (имя пользователя) и -Р (пароль) можно попробовать обратиться к серверу базы данных. Как видно из при­ веденного выше фрагмента, попытка использования имени sa без пароля (такой пароль применяется чаще всего!) ни к чему не привела. Однако при вводе кор­ ректной комбинации имени пользователя и пароля на экране появится строка приглашения 1>, позволяющая ввести любую допустимую команду.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |