freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

數(shù)據(jù)庫的非常規(guī)式安全隱患分析報告-文庫吧

2025-07-20 00:00 本頁面


【正文】 [24]。   2 數(shù)據(jù)庫的非常規(guī)式隱患分析   當需要分析這些對于非常規(guī)式攻擊時,首先需要考慮那些本身通過操作系統(tǒng)或其它應用程序的漏洞來獲取對于系統(tǒng)的控制權的情況,其次分析通過DBMS本身設計漏洞來攻擊。該文只考慮與DBMS有關的安全性方面,如下就詳述其常見的攻擊手段以及防患措施。    暴力攻擊法   常見的攻擊方法就是嘗試一個用戶,枚舉密碼的方式,通過ODBC或者JDBC標準訪問接口反復的連接數(shù)據(jù)庫,直到連接返回成功。比如,ODBC提供了一個SQLConnect函數(shù),其中有個字段就是用戶的密碼,一旦某個攻擊者知道了某個用戶名,就可以用如下的方式進行攻擊:   while(1)   {從密碼字典中取出一個密碼s;   ret = SQLConnect(...,s,...);   if(ret = =SQLSUCCESS)   break;}   實際上若再考慮幾個因素,就會發(fā)現(xiàn)這種方法成功效率是很高的:一般用戶的密碼長度都不是很長,而且大多用數(shù)字或者字母。SQLConnect執(zhí)行的時間一般是500ms,這樣在1個小時內,攻擊者就可以枚舉60602 = 7200個密碼;在不到一天的時間內就可以破譯所有10位以內的密碼,如果攻擊者采用多臺機器并行攻擊,其破譯的時間更快。曾一度對SQL2K攻擊非常見效的一個方法就是采取這樣思路:默認的SQL2K的安裝的SA用戶的密碼為空,獲取了SA的密碼,就可以采取SQL2K的存儲過程任意改動操作系統(tǒng)的文件了。   實際上,一般數(shù)據(jù)庫對于這種防范根本沒有。防范這點的方法就是每隔一定時間掃描數(shù)據(jù)庫的登陸日志,一旦發(fā)現(xiàn)對于數(shù)據(jù)庫某個用戶的登陸失敗次數(shù)超過一個規(guī)定值,我們就可以判定有攻擊者在試圖破譯這個密碼,這個時候我們就必需采取一定的防范措施:一種方法是拒絕訪問這個帳號,這樣方法適用與分布式攻擊,其一個缺點就是使得合法用戶不能登陸數(shù)據(jù)庫;另外一種方法就是對于不斷嘗試登陸的機器的ip禁止其訪問服務器,這種方法對于少量用戶的攻擊可以起到作用,但是對于大部分的分布式或者協(xié)同式攻擊就很難防范了[5]。    監(jiān)聽數(shù)據(jù)包發(fā)   上述1的攻擊通過服務器接收的消息可以明顯的分析出來,但對于監(jiān)聽網(wǎng)絡發(fā)出的包信息的監(jiān)聽就很難防范了。監(jiān)聽的結果就是截獲發(fā)往服務器的所有數(shù)據(jù)包。如若服務器沒有對客戶端發(fā)往服務器的信息或者服務器方法客戶端的信息進行加密的話,或者這種加密算法很簡單的話
點擊復制文檔內容
畢業(yè)設計相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1