sql server را جدی بگیرید [بایگانی]

View Full Version : sql server را جدی بگیرید

houtanal

شنبه 20 تیر 1383, 15:23 عصر

با توجه به اینکه بسیاری از برنامه های مورد استفاده در ادارات و سازمان ها که توسط برنامه نویسان و شرکت ها ایرانی نوشته شده اند از SQL server به عنوان بانک اطلاعاتی استفاده می کنند لازم دیدم نکات زیر را که تجربه شخصی خودم است را برای سایر دوستان بازگو کنم

مشکل:اکثر سرور هایی که من دیدم دارای پسورد sa خالی هستند. :shock:
خطر:امکان دستیابی به خط فرمان-امکان بازیابی اطلاعات بدون تایید هویت

مشکل:عدم نصب پک های امنیتی
خطر:یک جستجو ساده در وب می تواند تعداد بسیار زیادی اکسپلویت به شما بدهد که با استفاده از آنها می توانید یک خط فرمان از سیستم آسیب پذیر بگیرید

مشکل:عدم آگاهی کاربران از بک آپ گیری و انجام جاب
خطر:بسیاری از برنامه ها امکان بک آپ گیری را دارند اما متاسفانه کاربران نا آگاه فایل های بک آپ را روی همان سیستم ذخیره می کنند و از آنجایی که هر روز یک باگ و یک اکسپلویت جدید در ویندوز پیدا می شود امکان تخریب اطلاعات بانک اطلا عاتی و بک آپ ها تنها با دستیابی به یک سیستم وجود دارد

موارد بالا شاید ساده باشد اما متاسفانه رعایت نمی گردد .
زمانی که من به مدیر یک شبکه راجع به مشکل در سرور مالی آن ها تذکر دادم به جای حل آن شبکه مالی را کلا از بقیه جدا کردند یعنی امکان مبادله اطلاعات و دستیابی به اینترنت را حذف کردند اما حاضر نشدند به صورت اصولی فکری برای قضیه بکنند

اگر سایر دوستان هم مواردی به نظرشان می رسد از شنیدن آن ها همه استفاده خواهند کرد

hmm

یک شنبه 21 تیر 1383, 07:49 صبح

سیستم مکاتبات اداری ما تا چند ماه بدون پسورد بود که من به آنها اطلاع دادم و کلی هم حراست بازی شد که نگو
ولی چکنیم که بعضی از کسانی که مسولیت دارند دانش کافی رو ندارند و فقط بلدند کلاس بگذارند
بهرحال از تذکر به موقع شما ممنونم اگه میشه یک سری لینک از اکیسپلوید ها هم بدهید برای اطلاع عموم بد نیست

JavanSoft

یک شنبه 21 تیر 1383, 13:59 عصر

قضیه ServicePack ها حسب الظاهر بیش از یک مسئله عادی امنیتی در SqlServerاست و برخی باگهای انرا نیز ترمیم می کند
سرویس پکها 269MB هستند که باید از خود سایت میکروسافت Download شوند

houtanal

یک شنبه 21 تیر 1383, 14:16 عصر

ولی چکنیم که بعضی از کسانی که مسولیت دارند دانش کافی رو ندارند و فقط بلدند کلاس بگذارند
سر من هم این بلا اومده
امیدوارم مسئولین سرور ها و مدیران شبکه یک فکری بکنند که هر بچه ای نتواند برای شبکه شان مشکل ایجاد کند :)

---
Edited

hmm

یک شنبه 21 تیر 1383, 14:40 عصر

اگر با قوانین سایت مغایرت نداشته باشد سورس اکسپلویت هایی را که تا کنون خودم از آنها جواب گرفته ام و برنامه های مربوطه را می گذارم

عزیز من دانستن یک چیز که دلیل انجام اون نیست
تازه دیتابیس کارها باید بدونند که هکر ها از چه روشی برای درآوردن پدر بانک اطلاعاتی استفاده میکنن تا دیگه اکثر بانکها با یک روش ساده نره رو هوا
نترس عزیز من شما روشها رو اینجا یاور کن خودم مدیر سایت رو استاد میکنم هر چند مدیر سایت خودش استاده :wink:

houtanal

یک شنبه 21 تیر 1383, 14:46 عصر

جواب اینپرایز :evil2: رو کی میده؟ :| :roll:

oxygenws

یک شنبه 21 تیر 1383, 14:59 عصر

hmm چیزی حذف نشده، به نوشتهء سبز رنگه EDITED توجه کن :) کار جناب houtanal خلاف قوانین سایت بوده