当前位置: 开发笔记 > 数据库 > 正文

SQL密码管理的六个危险判断-mysql教程

作者：嘻嘻2502891803 | 来源：互联网 | 2017-05-12 15:28

当管理SQLServer内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQLServer密码来说非常危险的判断。当管理SQLServer内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQLServer

当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server系统被保护在防火墙里，而且还有Windows身份验证的保护，所有用户都需要密码才能进入。这听起来非常的安全，特别是当你认为所有人都这么做的时候。可实际上，它并不像我们想象得那么安全。

　　在这里，我们列出了一些对于SQL Server密码来说非常危险的判断：

　　密码测试无需计划

　　当进行测试时，直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试，我都强烈建议你获得权限，并建议一个帐户被锁定后的回滚方案。最后你要做的就是确保在账户被锁定时，数据库用户无法进行操作，而且与之相连的应用程序也将无法正常运行。

　　通过互联网，密码仍然是安全的

　　对于通过混合方式实现的SQL Server，你可以很容易的通过一些分析软件(比如OmniPeek、Ethereal)立刻从网上抓到它的密码。同时，Cain and Abel可以用来抓取基于TDS的密码。你可能以为通过内网交换机就可以避免这一问题?然而，Cain的ARP中毒路由功能就可以很轻松的破解它。在大约一分钟之内，这个免费软件就可以攻破你的交换机，并看到本地网络的内部数据交换，从而帮助其它软件更容易的抓取密码。

　　事实上，问题并没有就此结束。有些误解认为在SQL Server中使用Windows身份验证是很安全的。然而，事实并非如此。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码，从而获得SQL Server的访问权限。

　　通过使用密码政策，我们就可以不用测试密码

　　无论你的密码政策有多严厉，却总会有一些办法可以绕开它。比如现在有一个未进行配置的服务器、一个Windows域外的主机、一个未知的SQL Server或者一些特殊的工具，它们可以破解最强壮的密码。这些东西就可以利用你密码的弱点并是你的代码政策变得无效

　　另外，同样重要的是，有些测试结果可能会说由于你的密码已经非常强壮，你的数据库很安全，但你千万不要轻信。一定要自己在测试并验证一下，密码缺陷是否还在。尽管你可能会觉得一切都很好，但实际上你可能落掉了一些东西。

　　既然SQL Server密码是不可重获的，那如果我知道他很强壮、很安全，我有为什么要破解他呢?

　　事实上，SQL Server的密码是可以重获的。在SQL Server 7和SQL Server 2000中，，你可以使用像Cain and Abel或者收费的NGSSQLCrack这种工具来获得密码哈希表，而后通过暴力对其破解进行攻击。这些工具使你可以对SQL Server密码SHA哈希表进行反向工程。尽管破解的结果并不能够保证，但它确实是SQL Server的一个弱点。

　　我使用MBSA检查过SQL Server密码的缺陷，并没有发现什么严重的问题

　　Microsoft Baseline Security Analyzer是一个用来根除SQL Server弱点的工具，但他并不完善，特别是在密码破解方面。对于深层的SQL Server和Windows密码破解，我们需要使用第三方软件，如免费的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密码破解工具，如ElcomSoft's Proactive Password Auditor和Ophcrack。

　　此外，使用在SQL Server中使用Windows身份验证并不表示你的密码就是安全的。一些人只要了解如何破解Windows密码，在花一些时间，就可以破解你的密码并控制整个网络。特别是，如果他们使用<>Ophcrack's LiveCD来攻击一个物理上不安全的Windows主机，比如笔记本电脑或者易可达的服务器，那将变得更加容易。

　　你只需担心你主数据库服务器

　　我们很容易把关注点集中在自己的SQL Server系统上，而忽略了网络中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程序。这些系统可能正在使用不安全的默认设置，甚至根本就没有密码。通过使用SQLPing 3这样的工具来对数据库服务器上的这些系统进行攻击，你将很容易地被破解。

　　IT像其他东西一样，你总是被一些细节所打倒。如果可以抛弃这些对SQL Server密码的危险判断，你必将改善你的SQL Server的安全。

推荐阅读

sql
基于PgpoolII的PostgreSQL集群安装与配置教程

本文介绍了基于PgpoolII的PostgreSQL集群的安装与配置教程。Pgpool-II是一个位于PostgreSQL服务器和PostgreSQL数据库客户端之间的中间件，提供了连接池、复制、负载均衡、缓存、看门狗、限制链接等功能，可以用于搭建高可用的PostgreSQL集群。文章详细介绍了通过yum安装Pgpool-II的步骤，并提供了相关的官方参考地址。 ... [详细]

蜡笔小新 2023-12-14 19:10:25
sql
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
sql
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容，主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]

蜡笔小新 2023-12-14 18:16:27
json
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
mysql
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
mysql
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
mysql
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
mysql
Centos7.6安装Gitlab教程及注意事项

本文介绍了在Centos7.6系统下安装Gitlab的详细教程，并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时，还强调了使用阿里云服务器时的特殊配置需求，以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]

蜡笔小新 2023-12-14 14:01:06
mysql
Hibernate配置lazy=false时无法加载数据的问题解决方法

本文介绍了在Hibernate配置lazy=false时无法加载数据的问题，通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程，包括运行环境和数据库的配置信息。 ... [详细]

蜡笔小新 2023-12-14 13:59:45
sql
adg架构设置及其在企业数据治理中的应用

本文介绍了adg架构设置在企业数据治理中的应用。随着信息技术的发展，企业IT系统的快速发展使得数据成为企业业务增长的新动力，但同时也带来了数据冗余、数据难发现、效率低下、资源消耗等问题。本文讨论了企业面临的几类尖锐问题，并提出了解决方案，包括确保库表结构与系统测试版本一致、避免数据冗余、快速定位问题等。此外，本文还探讨了adg架构在大版本升级、上云服务和微服务治理方面的应用。通过本文的介绍，读者可以了解到adg架构设置的重要性及其在企业数据治理中的应用。 ... [详细]

蜡笔小新 2023-12-14 13:05:22
sql
禁止程序接收鼠标事件的工具_VNC Viewer for Mac(远程桌面工具)免费版

VNCViewerforMac是一款运行在Mac平台上的远程桌面工具，vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机，操作简 ... [详细]

蜡笔小新 2023-12-14 12:55:15
sql
云服务器API接口的入门使用及功能解析

本文详细介绍了云服务器API接口的概念和作用，以及如何使用API接口管理云上资源和开发应用程序。通过创建实例API、调整实例配置API、关闭实例API和退还实例API等功能，可以实现云服务器的创建、配置修改和销毁等操作。对于想要学习云服务器API接口的人来说，本文提供了详细的入门指南和使用方法。如果想进一步了解相关知识或阅读更多相关文章，请关注编程笔记行业资讯频道。 ... [详细]

蜡笔小新 2023-12-14 12:43:39
mysql
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
数据库
图解redis的持久化存储机制RDB和AOF的原理和优缺点

本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件，恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘，实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点，帮助读者更好地理解redis的持久化存储策略。 ... [详细]

蜡笔小新 2023-12-13 20:24:11
数据库
Alink回归预测的不完善问题及期待

本文讨论了Alink回归预测的不完善问题，指出目前主要针对Python做案例，对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法，以及Maven的相关知识。最后，对Alink回归预测的未来发展提出了期待。 ... [详细]

蜡笔小新 2023-12-14 14:25:33

嘻嘻2502891803

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章