Que ce soit par piquer manuel et insistance ou de l'utilisation des outils de test de sécurité, les attaquants malveillants utilisent une variété d'astuces pour pénétrer dans les systèmes de données SQL Server, à l'intérieur et l'extérieur de votre pare-feu. Il va de soi alors, si les pirates font, vous devez effectuer les mêmes attaques pour tester la force de sécurité de vos systèmes. Voici 10 astuces de pirates d'accéder et de violer les systèmes exécutant SQL Server. 1.
Les connexions directes via Internet Ces connexions peuvent être utilisés pour attacher les serveurs SQL assis nu sans protection pare-feu pour le monde entier pour voir (et l'accès). Rapport Port de dshield montre à quel point de nombreux systèmes sont assis là à attendre d'être attaqués. Je ne comprends pas la logique derrière faisant un serveur critique comme ceci directement accessible à partir de l'Internet, mais je trouve toujours ce défaut dans mes évaluations, et nous nous souvenons tous de l'effet du ver Slammer avait sur tant de systèmes SQL Server vulnérables.
Néanmoins, ces attaques directes peuvent conduire à un déni de service, les dépassements de tampon et plus encore. Vulnérabilité de balayage balayage 2. Vulnérabilité révèle souvent des faiblesses dans le système d'exploitation sous-jacents, l'application Web ou le système de base de données elle-même. Quelque chose de patches manquants SQL Server pour Internet Information Services (IIS) faiblesses de configuration SNMP exploits peuvent être découverts par des attaquants et conduire à serveur de base de compromis.
Les méchants peuvent utiliser l'open source, la maison-cultivés ou outils commerciaux. Certains sont même suffisamment de bon sens pour mener à bien leurs hacks manuellement à partir d'une invite de commande. Dans l'intérêt de temps (et rouet minime), je recommande d'utiliser des outils d'évaluation de la vulnérabilité commerciaux comme QualysGuard de Qualys Inc. (pour la numérisation générale), WebInspect de SPI Dynamics (pour la numérisation de l'application Web) et Next Generation Security Software Ltd de NGSSquirrel pour SQL Server (pour la numérisation spécifique à la base).
Ils sont faciles à utiliser, offrir une évaluation la plus complète et, à son tour, fournir les meilleurs résultats. La figure 1 montre des vulnérabilités d'injection SQL vous pourriez être en mesure de découvrir. Figure 1: SQL commune vulnérabilités d'injection trouvés en utilisant WebInspect. 3. L'énumération du service de rés