当前位置: 开发笔记 > 数据库 > 正文

SQL密码管理的六个危险判断-mysql教程

作者：嘻嘻2502891803 | 来源：互联网 | 2017-05-12 15:28

当管理SQLServer内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQLServer密码来说非常危险的判断。当管理SQLServer内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQLServer

当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。但实际上并非如此。在这里，我们列出了一些对于SQL Server密码来说非常危险的判断。

　　当管理SQL Server内在的帐户和密码时，我们很容易认为这一切都相当的安全。毕竟，你的SQL Server系统被保护在防火墙里，而且还有Windows身份验证的保护，所有用户都需要密码才能进入。这听起来非常的安全，特别是当你认为所有人都这么做的时候。可实际上，它并不像我们想象得那么安全。

　　在这里，我们列出了一些对于SQL Server密码来说非常危险的判断：

　　密码测试无需计划

　　当进行测试时，直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试，我都强烈建议你获得权限，并建议一个帐户被锁定后的回滚方案。最后你要做的就是确保在账户被锁定时，数据库用户无法进行操作，而且与之相连的应用程序也将无法正常运行。

　　通过互联网，密码仍然是安全的

　　对于通过混合方式实现的SQL Server，你可以很容易的通过一些分析软件(比如OmniPeek、Ethereal)立刻从网上抓到它的密码。同时，Cain and Abel可以用来抓取基于TDS的密码。你可能以为通过内网交换机就可以避免这一问题?然而，Cain的ARP中毒路由功能就可以很轻松的破解它。在大约一分钟之内，这个免费软件就可以攻破你的交换机，并看到本地网络的内部数据交换，从而帮助其它软件更容易的抓取密码。

　　事实上，问题并没有就此结束。有些误解认为在SQL Server中使用Windows身份验证是很安全的。然而，事实并非如此。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码，从而获得SQL Server的访问权限。

　　通过使用密码政策，我们就可以不用测试密码

　　无论你的密码政策有多严厉，却总会有一些办法可以绕开它。比如现在有一个未进行配置的服务器、一个Windows域外的主机、一个未知的SQL Server或者一些特殊的工具，它们可以破解最强壮的密码。这些东西就可以利用你密码的弱点并是你的代码政策变得无效

　　另外，同样重要的是，有些测试结果可能会说由于你的密码已经非常强壮，你的数据库很安全，但你千万不要轻信。一定要自己在测试并验证一下，密码缺陷是否还在。尽管你可能会觉得一切都很好，但实际上你可能落掉了一些东西。

　　既然SQL Server密码是不可重获的，那如果我知道他很强壮、很安全，我有为什么要破解他呢?

　　事实上，SQL Server的密码是可以重获的。在SQL Server 7和SQL Server 2000中，，你可以使用像Cain and Abel或者收费的NGSSQLCrack这种工具来获得密码哈希表，而后通过暴力对其破解进行攻击。这些工具使你可以对SQL Server密码SHA哈希表进行反向工程。尽管破解的结果并不能够保证，但它确实是SQL Server的一个弱点。

　　我使用MBSA检查过SQL Server密码的缺陷，并没有发现什么严重的问题

　　Microsoft Baseline Security Analyzer是一个用来根除SQL Server弱点的工具，但他并不完善，特别是在密码破解方面。对于深层的SQL Server和Windows密码破解，我们需要使用第三方软件，如免费的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密码破解工具，如ElcomSoft's Proactive Password Auditor和Ophcrack。

　　此外，使用在SQL Server中使用Windows身份验证并不表示你的密码就是安全的。一些人只要了解如何破解Windows密码，在花一些时间，就可以破解你的密码并控制整个网络。特别是，如果他们使用<>Ophcrack's LiveCD来攻击一个物理上不安全的Windows主机，比如笔记本电脑或者易可达的服务器，那将变得更加容易。

　　你只需担心你主数据库服务器

　　我们很容易把关注点集中在自己的SQL Server系统上，而忽略了网络中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程序。这些系统可能正在使用不安全的默认设置，甚至根本就没有密码。通过使用SQLPing 3这样的工具来对数据库服务器上的这些系统进行攻击，你将很容易地被破解。

　　IT像其他东西一样，你总是被一些细节所打倒。如果可以抛弃这些对SQL Server密码的危险判断，你必将改善你的SQL Server的安全。

推荐阅读

数据库
深入解析 ASP.NET 中 ViewState、Cookie 和 Session 的区别与应用

本文深入探讨了ASP.NET中ViewState、Cookie和Session三种状态管理技术的区别与应用场景。ViewState主要用于保存页面控件的状态信息，确保在多次往返服务器过程中数据的一致性；Cookie则存储在客户端，适用于保存少量用户偏好设置等非敏感信息；而Session则在服务器端存储数据，适合处理需要跨页面保持的数据。文章详细分析了这三种技术的工作原理及其优缺点，并提供了实际应用中的最佳实践建议。 ... [详细]

蜡笔小新 2024-11-01 20:27:29
数据库
Python与R语言的功能对比及应用场景分析

Python与R语言在功能和应用场景上各有优势。尽管R语言在统计分析和数据可视化方面具有更强的专业性，但Python作为一种通用编程语言，适用于更广泛的领域，包括Web开发、自动化脚本和机器学习等。对于初学者而言，Python的学习曲线更为平缓，上手更加容易。此外，Python拥有庞大的社区支持和丰富的第三方库，使其在实际应用中更具灵活性和扩展性。 ... [详细]

蜡笔小新 2024-11-01 18:37:10
数据库
解决118错误代码：专业指南与常见解决方案

解决118错误代码：专业指南与常见解决方案 ... [详细]

蜡笔小新 2024-11-02 17:06:31
数据库
计算机设备型号命名解析及品牌资料详述.docx

本文详细解析了计算机设备的型号命名规则，并提供了各品牌的相关资料。具体包括设备名称、品牌、型号、规格配置、生产厂商、数量、单价及金额等信息。例如，直播机房的安装与集成涉及9套设备，总控系统的安装与架构为1套，文艺录音棚的安装与集成则需详见附录中的技术参数。 ... [详细]

蜡笔小新 2024-11-02 16:44:43
数据库
企业应用BPM系统的基本概况与优势解析

近年来，BPM（业务流程管理）系统在国内市场逐渐普及，多家厂商在这一领域崭露头角。本文将对当前主要的BPM厂商进行概述，并分析其各自的优势。目前，市场上较为成熟的BPM产品主要分为两类：一类是综合型厂商，如IBM和SAP，这些企业在整体解决方案方面具有明显优势；另一类则是专注于BPM领域的专业厂商，它们在特定行业或应用场景中表现出色。通过对比分析，本文旨在为企业选择合适的BPM系统提供参考。 ... [详细]

蜡笔小新 2024-11-02 15:47:50
数据库
SQL Server性能瓶颈分析与解决策略

在数据仓库管理中，定时更新程序与查询SQL之间的冲突常常导致性能瓶颈和阻塞问题。为了解决这些问题，通常需要对SQL Server进行详细的性能诊断。常用的诊断工具包括系统动态管理视图（DMVs）和扩展事件（Extended Events），这些工具能够帮助识别和分析性能瓶颈的具体原因，从而采取有效的优化措施。 ... [详细]

蜡笔小新 2024-11-02 12:06:55
数据库
分布式开源任务调度框架 TBSchedule 深度解析与应用实践

本文深入解析了分布式开源任务调度框架 TBSchedule 的核心原理与应用场景，并通过实际案例详细介绍了其部署与使用方法。首先，从源码下载开始，详细阐述了 TBSchedule 的安装步骤和配置要点。接着，探讨了该框架在大规模分布式环境中的性能优化策略，以及如何通过灵活的任务调度机制提升系统效率。最后，结合具体实例，展示了 TBSchedule 在实际项目中的应用效果，为开发者提供了宝贵的实践经验。 ... [详细]

蜡笔小新 2024-11-02 11:59:52
数据库
如何在 PostgreSQL 中查询表创建语句：PostgreSQL 操作指南

首先，启动 pgAdmin 并连接到目标数据库服务器。接着，在左侧导航栏中展开“架构”节点，找到并选择需要查询的表。最后，切换到“SQL”标签页，即可查看该表的创建语句。此外，你还可以通过执行 `SELECT pg_get_ddl_command('表名'::regclass);` 命令来直接获取表的 DDL 语句。 ... [详细]

蜡笔小新 2024-11-02 11:27:24
数据库
Python编程中的并发与并行：深入解析阻塞、非阻塞、同步、异步及IO多路复用技术

在Python编程中，探讨了并发与并行的概念及其区别。并发指的是系统同时处理多个任务的能力，而并行则指在同一时间点上并行执行多个任务。文章详细解析了阻塞与非阻塞操作、同步与异步编程模型，以及IO多路复用技术的应用。通过模拟socket发送HTTP请求的过程，展示了如何创建连接、发送数据和接收响应，并强调了默认情况下socket的阻塞特性。此外，还介绍了如何利用这些技术优化网络通信性能和提高程序效率。 ... [详细]

蜡笔小新 2024-11-02 10:32:48
数据库
ASP11：深入解析与应用展望

ASP11：深入解析与应用展望本文详细探讨了 ASP11 中的 `AppRelativeTemplateSourceDirectory` 属性，该属性用于获取或设置包含控件的 Page 或 UserControl 对象的应用程序相对虚拟目录。此外，文章还介绍了 1.0 版本中的 Binding 机制，分析了其在实际开发中的应用和优化方法，为开发者提供了全面的技术指导。 ... [详细]

蜡笔小新 2024-11-02 09:56:29
数据库
在Mac平台上通过终端操作完成MySQL的启动与彻底关闭——八步指南

在Mac平台上，通过终端操作实现MySQL的启动与完全关闭，本文提供了一套详细的八步指南。首先，在Finder中使用快捷键进入 `/usr/local` 目录，找到并进入 `mysql` 文件夹。接着，右键选择该文件夹并从上下文菜单中打开终端。在终端中，输入并执行 `./scripts/mysql_install` 命令以开始安装或初始化过程。后续步骤将指导用户如何顺利启动和安全关闭MySQL服务，确保系统资源的有效管理。 ... [详细]

蜡笔小新 2024-11-02 09:35:30
mysql
【并发编程】全面解析 Java 内存模型，一篇文章带你彻底掌握

本文深入解析了 Java 内存模型（JMM），从基础概念到高级特性进行全面讲解，帮助读者彻底掌握 JMM 的核心原理和应用技巧。通过详细分析内存可见性、原子性和有序性等问题，结合实际代码示例，使开发者能够更好地理解和优化多线程并发程序。 ... [详细]

蜡笔小新 2024-11-02 09:09:51
mysql
警惕正常网页访问受限，谨防游戏账号被盗风险

江民科技在2月23日的病毒播报中提醒用户注意，今日检测到的病毒包括“网游窃贼”变种nln（TrojanPSW.OnLineGames.nln）和“Hosts劫持者”rj（TrojanQhost.rj）。这些恶意软件可能导致正常网页访问受限，并增加游戏账号被盗的风险。建议用户及时更新防病毒软件，加强系统安全防护，避免个人信息泄露。 ... [详细]

蜡笔小新 2024-11-02 06:35:15
json
深入解析JSONP跨域机制及其工作原理

本文详细解析了JSONP（JSON with Padding）的跨域机制及其工作原理。JSONP是一种通过动态创建``标签来实现跨域请求的技术，其核心在于利用了浏览器对``标签的宽松同源策略。文章不仅介绍了JSONP的产生背景，还深入探讨了其具体实现过程，包括如何构造请求、服务器端如何响应以及客户端如何处理返回的数据。此外，还分析了JSONP的优势和局限性，帮助读者全面理解这一技术在现代Web开发中的应用。 ... [详细]

蜡笔小新 2024-11-01 19:08:41
数据库
Spring Security 认证模块的项目构建与初始化

本文详细介绍了如何构建和初始化Spring Security认证模块的项目。首先，通过创建一个分布式Maven聚合工程，该工程包含四个模块，分别为core、browser（用于演示）、app等，以构成完整的SeehopeSecurity项目。在项目构建过程中，还涉及日志生成机制，确保能够输出关键信息，便于调试和监控。 ... [详细]

蜡笔小新 2024-11-01 17:43:00

嘻嘻2502891803

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章