ATAK Test penetracyjny MS SQL Server
GRZEGORZ GAŁĘZOWSKI
Stopień trudności
Ci, którzy szukają sposobu na uzyskanie nielegalnego dostępu do bazy danych wykorzystają dowolny słaby punkt systemu. Ze wszystkich znanych technologii na świecie, żadna nie podlega takiej ciągłej obserwacji i atakom, jak bazy danych.
I
Z ARTYKUŁU DOWIESZ SIĘ jak zdalnie analizować systemy z rodziny SQL Server; poznasz metody łamania haseł w SQL Server 2000 i 2005; jak wykorzystywać narzędzia audytowe.
CO POWINIENEŚ WIEDZIEĆ znać podstawy obsługi MS SQL Server 2000 i 2005; sprawnie posługiwać się programami z poziomu linii poleceń; posiadać podstawy obsługi systemu MS Windows i Linux. 20
HAKIN9 7-8/2009
stnieje bardzo wielkie ryzyko, że dane z baz danych mogą wpaść w niepowołane ręce. Aby się przed tym uchronić, przedsiębiorstwa są zmuszane do nieustannej analizy zastosowanych ustawień polityki bezpieczeństwa dla pakietów oprogramowania i własnych aplikacji. Microsoft SQL Ser ver to popularne i niezawodne środowisko dla wielu aplikacji, które korzystają z baz danych – w połączeniu z dużą elastycznością, daje sporo możliwości. Niestety, jeśli taki potencjał nie zostanie odpowiednio zabezpieczony, wykorzystywany może być w niewłaściwy sposób. Ten artykuł ma na celu określenie pewnych rodzajów ryzyka, które mogą wynikać z niewłaściwego zarządzania Microsoft SQL Server. SQL Ser ver domyślnie pozwala wszystkim użytkownikom na dostęp do głównej bazy danych, która zawiera wszystkie ustawienia dla programu, w tym także wszystkie informacje, które SQL Ser ver wykorzystuje do otwarcia bazy danych. Zawiera także wszystkie identyfikator y logowania SQL, danych z podłączonych serwerów itp. Oczywiście podstawowi użytkownicy nie mają dostępu do wszystkich zasobów informacyjnych. Niemniej jednak nazwy kont i baz danych (w tym informacji przechowywanych na nich) mogą być dostępne nieuprzywilejowanym użytkownikom. W niniejszym artykule pokazane zostaną najczęstsze błędy baz danych i ich usług,
omówione metody identyfikacji i wykorzystania ich przy użyciu narzędzi dostępnych z poziomu systemu Linux i Windows. Case studies (czyli korzystanie z otwartych i zamkniętych narzędzi audytowych) będzie oferować czytelnikowi wszechstronne podejście do korzystania z narzędzi i technik przedstawionych w tym artykule. Wiedza zdobyta na praktycznych przykładach może być bezpośrednio stosowana w odniesieniu do świata rzeczywistego. Wszyscy, którzy będą chcieli przeprowadzać testy na bazach danych, muszą najpier w poznać podstawowy zestaw narzędzi i technologii potrzebnych do skutecznego audytu. Po pier wsze, podstawowe pojęcia: definicję bazy danych oraz poszczególnych części składowych typowego systemu zarządzania bazami danych. Następnie kilka cech powszechnie używanego systemu zarządzania bazami danych jakim jest Microsoft SQL Ser ver, w tym jego domyślne konta użytkowników, a także jego strukturę. W końcowej fazie szczegóły techniczne instalacji bazy, w tym domyślne porty, protokoły oraz inne informacje ważne dla testów penetracyjnych.
Podstawowe pojęcia
Czym jest baza danych i jak się różni od systemu zarządzania bazą danych? Baza danych jest