SQL Server密码管理的六个危险判断-mysql教程-PHP中文網

首頁

資料庫

mysql教程

SQL Server密码管理的六个危险判断

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:21 PM

server判斷危險密碼管理

当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server系统被保护在防火墙里，而且还有Windows身份验证的保护，所有用户都需要密码才能进入。这听起来非常的安全，特别是当你认为所有人都这么做的时候。可实际上，它并不像我们想象得那么安全。

　　在这里，我们列出了一些对于SQL Server密码来说非常危险的判断：

　　密码测试无需计划

　　当进行测试时，直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试，我都强烈建议你获得权限，并建议一个帐户被锁定后的回滚方案。最后你要做的就是确保在账户被锁定时，数据库用户无法进行操作，而且与之相连的应用程序也将无法正常运行。

　　通过互联网，密码仍然是安全的

　　对于通过混合方式实现的SQL Server，你可以很容易的通过一些分析软件(比如OmniPeek、Ethereal)立刻从网上抓到它的密码。同时，Cain and Abel可以用来抓取基于TDS的密码。你可能以为通过内网交换机就可以避免这一问题?然而，Cain的ARP中毒路由功能就可以很轻松的破解它。在大约一分钟之内，这个免费软件就可以攻破你的交换机，并看到本地网络的内部数据交换，从而帮助其它软件更容易的抓取密码。

　　事实上，问题并没有就此结束。有些误解认为在SQL Server中使用Windows身份验证是很安全的。然而，事实并非如此。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码，从而获得SQL Server的访问权限。

　　通过使用密码政策，我们就可以不用测试密码

　　无论你的密码政策有多严厉，却总会有一些办法可以绕开它。比如现在有一个未进行配置的服务器、一个Windows域外的主机、一个未知的SQL Server或者一些特殊的工具，它们可以破解最强壮的密码。这些东西就可以利用你密码的弱点并是你的代码政策变得无效

　　另外，同样重要的是，有些测试结果可能会说由于你的密码已经非常强壮，你的数据库很安全，但你千万不要轻信。一定要自己在测试并验证一下，密码缺陷是否还在。尽管你可能会觉得一切都很好，但实际上你可能落掉了一些东西。

　　既然SQL Server密码是不可重获的，那如果我知道他很强壮、很安全，我有为什么要破解他呢?

　　事实上，SQL Server的密码是可以重获的。在SQL Server 7和SQL Server 2000中，你可以使用像Cain and Abel或者收费的NGSSQLCrack这种工具来获得密码哈希表，而后通过暴力对其破解进行攻击。这些工具使你可以对SQL Server密码SHA哈希表进行反向工程。尽管破解的结果并不能够保证，，但它确实是SQL Server的一个弱点。

　　我使用MBSA检查过SQL Server密码的缺陷，并没有发现什么严重的问题

　　Microsoft Baseline Security Analyzer是一个用来根除SQL Server弱点的工具，但他并不完善，特别是在密码破解方面。对于深层的SQL Server和Windows密码破解，我们需要使用第三方软件，如免费的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密码破解工具，如ElcomSoft's Proactive Password Auditor和Ophcrack。

　　此外，使用在SQL Server中使用Windows身份验证并不表示你的密码就是安全的。一些人只要了解如何破解Windows密码，在花一些时间，就可以破解你的密码并控制整个网络。特别是，如果他们使用Ophcrack's LiveCD来攻击一个物理上不安全的Windows主机，比如笔记本电脑或者易可达的服务器，那将变得更加容易。

　　你只需担心你主数据库服务器

　　我们很容易把关注点集中在自己的SQL Server系统上，而忽略了网络中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程序。这些系统可能正在使用不安全的默认设置，甚至根本就没有密码。通过使用SQLPing 3这样的工具来对数据库服务器上的这些系统进

　　行攻击，你将很容易地被破解。

　　IT像其他东西一样，你总是被一些细节所打倒。如果可以抛弃这些对SQL Server密码的危险判断，你必将改善你的SQL Server的安全。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

解釋酸的特性（原子，一致性，隔離，耐用性）。Apr 16, 2025 am 12:20 AM

ACID屬性包括原子性、一致性、隔離性和持久性，是數據庫設計的基石。 1.原子性確保事務要么完全成功，要么完全失敗。 2.一致性保證數據庫在事務前後保持一致狀態。 3.隔離性確保事務之間互不干擾。 4.持久性確保事務提交後數據永久保存。

MySQL：數據庫管理系統與編程語言Apr 16, 2025 am 12:19 AM

MySQL既是數據庫管理系統（DBMS），也與編程語言緊密相關。 1）作為DBMS，MySQL用於存儲、組織和檢索數據，優化索引可提高查詢性能。 2）通過SQL與編程語言結合，嵌入在如Python中，使用ORM工具如SQLAlchemy可簡化操作。 3）性能優化包括索引、查詢、緩存、分庫分錶和事務管理。

mySQL：使用SQL命令管理數據Apr 16, 2025 am 12:19 AM

MySQL使用SQL命令管理數據。 1.基本命令包括SELECT、INSERT、UPDATE和DELETE。 2.高級用法涉及JOIN、子查詢和聚合函數。 3.常見錯誤有語法、邏輯和性能問題。 4.優化技巧包括使用索引、避免SELECT*和使用LIMIT。

MySQL的目的：有效存儲和管理數據Apr 16, 2025 am 12:16 AM

MySQL是一種高效的關係型數據庫管理系統，適用於存儲和管理數據。其優勢包括高性能查詢、靈活的事務處理和豐富的數據類型。實際應用中，MySQL常用於電商平台、社交網絡和內容管理系統，但需注意性能優化、數據安全和擴展性。

SQL和MySQL：了解關係Apr 16, 2025 am 12:14 AM

SQL和MySQL的關係是標準語言與具體實現的關係。 1.SQL是用於管理和操作關係數據庫的標準語言，允許進行數據的增、刪、改、查。 2.MySQL是一個具體的數據庫管理系統，使用SQL作為其操作語言，並提供高效的數據存儲和管理。

說明InnoDB重做日誌和撤消日誌的作用。Apr 15, 2025 am 12:16 AM

InnoDB使用redologs和undologs確保數據一致性和可靠性。 1.redologs記錄數據頁修改，確保崩潰恢復和事務持久性。 2.undologs記錄數據原始值，支持事務回滾和MVCC。

在解釋輸出（類型，鍵，行，額外）中要查找的關鍵指標是什麼？Apr 15, 2025 am 12:15 AM

EXPLAIN命令的關鍵指標包括type、key、rows和Extra。 1）type反映查詢的訪問類型，值越高效率越高，如const優於ALL。 2）key顯示使用的索引，NULL表示無索引。 3）rows預估掃描行數，影響查詢性能。 4）Extra提供額外信息，如Usingfilesort提示需要優化。

在解釋中使用臨時狀態以及如何避免它是什麼？Apr 15, 2025 am 12:14 AM

Usingtemporary在MySQL查詢中表示需要創建臨時表，常見於使用DISTINCT、GROUPBY或非索引列的ORDERBY。可以通過優化索引和重寫查詢避免其出現，提升查詢性能。具體來說，Usingtemporary出現在EXPLAIN輸出中時，意味著MySQL需要創建臨時表來處理查詢。這通常發生在以下情況：1)使用DISTINCT或GROUPBY時進行去重或分組；2)ORDERBY包含非索引列時進行排序；3)使用複雜的子查詢或聯接操作。優化方法包括：1)為ORDERBY和GROUPB

See all articles