密碼測試無需計畫
當進行測試時,直接就開始嘗試破解密碼將是乙個很大的錯誤。無論你是在本地還是通過網際網路進行測試,我都強烈建議你獲得許可權,並建議乙個帳戶被鎖定後的回滾方案。最後你要做的就是確保在賬戶被鎖定時,資料庫使用者無法進行操作,而且與之相連的應用程式也將無法正常執行。
通過網際網路,密碼仍然是安全的
對於通過混合方式實現的sql server,你可以很容易的通過一些分析軟體(比如omnipeek、ethereal)立刻從網上抓到它的密碼。同時,cain and abel可以用來抓取基於tds的密碼。你可能以為通過內網交換機就可以避免這一問題?然而,cain的arp中毒路由功能就可以很輕鬆的破解它。在大約一分鐘之內,這個免費軟體就可以攻破你的交換機,並看到本地網路的內部資料交換,從而幫助其它軟體更容易的抓取密碼。
事實上,問題並沒有就此結束。有些誤解認為在sql server中使用windows身份驗證是很安全的。然而,事實並非如此。上述軟體同樣可以迅速的從網上抓到windows、web、電子郵件等相關的密碼,從而獲得sql server的訪問許可權。
通過使用密碼政策,我們就可以不用測試密碼無論你的密碼政策有多嚴厲,卻總會有一些辦法可以繞開它。比如現在有乙個未進行配置的伺服器、乙個windows域外的主機、乙個未知的sql server或者一些特殊的工具,它們可以破解最強壯的密碼。這些東西就可以利用你密碼的弱點並是你的**政策變得無效。
另外,同樣重要的是,有些測試結果可能會說由於你的密碼已經非常強壯,你的資料庫很安全,但你千萬不要輕信。一定要自己在測試並驗證一下,密碼缺陷是否還在。儘管你可能會覺得一切都很好,但實際上你可能落掉了一些東西。
既然sql server密碼是不可重獲的,那如果我知道他很強壯、很安全,我為什麼要破解他呢?
事實上,sql server的密碼是可以重獲的。在sql server 7和sql server 2000中,你可以使用像cain and abel或者收費的ngssqlcrack這種工具來獲得密碼雜湊表,而後通過暴力對其破解進行攻擊。這些工具使你可以對sql server密碼sha雜湊表進行反向工程。儘管破解的結果並不能夠保證,但它確實是sql server的乙個弱點。
使用mbsa檢查過sql server密碼的缺陷,並沒有發現什麼嚴重的問題
microsoft baseline security analyzer是乙個用來**sql server弱點的工具,但他並不完善,特別是在密碼破解方面。對於深層的sql server和windows密碼破解,我們需要使用第三方軟體,如免費的sqlat和sqlninja(可以在sqlping 3中找到)和windows密碼破解工具,如elcomsofts proactive password auditor和ophcrack。
此外,使用在sql server中使用windows身份驗證並不表示你的密碼就是安全的。一些人只要了解如何破解windows密碼,在花一些時間,就可以破解你的密碼並控制整個網路。特別是,如果他們使用<>ophcracks livecd來攻擊乙個物理上不安全的windows主機,比如膝上型電腦或者易可達的伺服器,那將變得更加容易。
只需擔心你的主資料庫伺服器
我們很容易把關注點集中在自己的sql server系統上,而忽略了網路中可能有的msde、sql serve express和其它一些可能的sql server程式。這些系統可能正在使用不安全的預設設定,甚至根本就沒有密碼。通過使用sqlping 3這樣的工具來對資料庫伺服器上的這些系統進行攻擊,你將很容易地被破解。
WPF 獲得滑鼠相對於螢幕的位置,相對於控制項的位置
原文 wpf 獲得滑鼠相對於螢幕的位置,相對於控制項的位置 相對於螢幕的位置 第一步 用於獲得滑鼠相對於螢幕的位置 public class win32 重新整理桌面 dllimport shell32.dll public static extern void shchangenotify uin...
WPF 獲得滑鼠相對於螢幕的位置,相對於控制項的位置
原文 wpf 獲得滑鼠相對於螢幕的位置,相對於控制項的位置 相對於螢幕的位置 第一步 用於獲得滑鼠相對於螢幕的位置 public class win32 重新整理桌面 dllimport shell32.dll public static extern void shchangenotify uin...
springMVC 相對於 Structs 的優勢
智者說,沒有經過自己的思考和估量,就不能接受別人的東西。資料只能是乙個參考,至於是否正確,還得自己去分辨 springmvc相對於 structs 的幾個優勢 1 springmvc安全性更高,structs2 框架是類級別的攔截,每次 request 請求structs2 都會為之建立乙個 act...