Администрирование
HyperSQL, IBM DB2, IBM DB2, Interbase, Firebird, Yaffil , MSSQL, MySQL, ORACLE, PostgreSQL, SYBASE, Другие, Курсы, ... |
Безопасность
HyperSQL, MSSQL, Oracle, Phpmyadmin, Инъекция SQL, Книги, Патчи, Программы, Скрипты, СУБД, ... |
Проектирование БД
Business intelligence, Data Warehouse, Designer 2000 (Oracle), ErWin, ETL, OLAP, Sybase PowerDesigner , Другие CASE средства, Статьи, Теория БД, ... |
Производительность
DB2, HyperSQL, IBM DB2, Interbase, Firebird, Yaffil, MSSQL, MySQL, ORACLE, PostgreSQL, SQL, SYBASE, Другие, ... |
Установка
HyperSQL, IBM DB2, Interbase, Firebird, Yaffil , MSSQL, MySQL, ORACLE, PostgreSQL, SYBASE, Другие, ... |
|
|
Главная  Инъекция SQL
Инъекция SQL
|
Характерной особенностью IBM (отраженной и в названии компании) всегда была ориентированность на задачи из области бизнеса для крупных корпоративных клиентов. Отсюда и то, что решения IBM в области хранения данных предназначались, в первую очередь, для заказчиков, оперирующих с большими объемами данных и требующих от программных и аппаратных средств высокой надежности и безопасности.
Прикладные системы, которые используют средства DB2, - это, прежде всего, стандартные OLTP (On-Line Transaction Processing) системы. Кроме того, DB2 широко применяется в информационных системах различного назначения, в том числе при построении информационных хранилищ, при создании систем поддержки принятия решений (информационно-аналитических систем).
История развития продуктов DB2 начинается с 60-х годов прошлого столетия, когда компания IBM выпустила коммерческую базу с иерархической структурой данных Information Management System (IMS). В середине 70-х годов в исследовательских лабораториях IBM (Санта-Тереза, Калифорния) была разработана реляционная база данных System R, во многом определившая архитектуру современных реляционных баз данных. В 1981 году появился коммерческий продукт SQL/DS для операционной среды VM, а в 1983 - собственно DB2 для интерфейсов с операционной системой MVS/ESA. Первые версии DB2 были ориентированы на поддержку очень крупных централизованных систем, взаимодействие с транзакционными продуктами CICS, поддержку пакетной обработки больших объемов данных. В последующих версиях расширился круг поддерживаемых операционных платформ, возможности масштабируемого применения и поддержки архитектуры клиент-сервер. |
|
Подробнее...
|
|
|
В данном упражнении мы рассмотрим работу с такой интересной утилитой, как SQLMap.
SQLMap - данная утилита работает на большинстве платформ и написана на Python'e. Позволяет автоматизировать работу обнаружения и эксплуатации SQL Инъекций. Поддерживает такие базы данных, как: MySQL, MS SQL, PostgerSQL, Oracle.
Что же может данная утилита? А может она многое, вот некоторые ее возможности:
* Определения "банера системы" (сервера, интерпретатора скриптов, базы данных);
* Отображении имени пользователя, под которым работает атакуемое хозяйство;
* Отображение баз данных, таблиц, колонок и полей;
* Позволяет определить, есть ли у пользователя права администратора БД;
* Позволяет выполнять произвольные SQL-запросы;
* При хорошем стечении обстоятельств выдаст список пользователей и их хеш-пароли;
* Позволяет сделать дамп, как отдельных таблиц, так и полный =);
* Может взаимодействовать со всем нам известным Metasploit"ом;
* Используя баги в базах данных, может прочитать разные файлы, лежащие на сервере, будь то текстовый файл или скрипт;
* Может взаимодействовать с дядей Гуглом;
* Есть поддержка прокси;
* Данные могут отправляться как методом GET(по умолчанию), так и POST;
* Если на сервере включена "magic quotes", то будет применено кодирование с использованием функции CHAR();
* Существует возможность создавать файлы конфигурации, для тех кому лень постоянно вводить команды;
* И еще куча прибомбасов... =)
|
|
Подробнее...
|
|
|
Безопасность и санкционирование доступа В контексте баз данных термин безопасность означает защиту данных от несанкционированного раскрытия, изменения или уничтожения. SQL позволяет индивидуально защищать как целые таблицы, так и отдельные их поля. Для этого имеются две более или менее независимые возможности:механизм представлений, рассмотреный в предыдущей главе и используемый для скрытия засекреченных данных от пользователей, не обладающих правом доступа; подсистема санкционирования доступа, позволяющая предоставить указанным пользователям определенные привилегии на доступ к данным и дать им возможность избирательно и динамически передавать часть выделенных привилегий другим пользователям, отменяя впоследствии эти привилегии, если потребуется.
|
|
Подробнее...
|
|
|
Небрежность и невнимательность, вот две причины написания кода, уязвимого для SQL инъекций. Третья причина - незнание, должна бы побуждать программиста к углублению своих знаний или даже изменения профессии. SQL инъекция (SQL injection) - уязвимость которая возникает
при недостаточной проверке и обработке данных, которые передаются от пользователя, и позволяет модифицировать и выполнять непредвиденные кодом программы SQL запросы. Инъекция SQL является широко распространенным дефектом безопасности в Internet, что легко используется без специальных программ и не требует глубоких технических знаний. Использование этой уязвимости дает путь к большим возможностям: как то кража, подмена или уничтожение данных, отказ в обслуживании, и т.д. В этой статье я попробую объяснить основные риски, которые возникают при взаимодействии междуPHP и базой данных MySQL. |
|
Подробнее...
|
|
| << [Первая] < [Предыдущая] 1 [Следующая] > [Последняя] >>
| | Результаты 1 - 4 из 4 |
|
Последние добавленные статьи |
|
|
|
|
