出版时间:2004-10-1 出版社:清华大学出版社 作者:Chip Andrews,David Litchfield,周俊杰 页数:250 字数:347000 译者:周俊杰
Tag标签:无
内容概要
创作本书的最初动机是发现SQL Server是一个常常被人们忽视的安全领域。SQL Server功能强大,应用广泛,它已经找到了进入第三方软件、开发者的工作站和全球范围内重要后台终端系统的方法。在进行安全审核的时代,我们可以明确地告诉您,无论是从系统内部或外部威胁到系统安全的时侯,SQL Server都已要成为并继续成为最成功的突破目标之一。无论是那些远程开发者或在宾馆房间中连接Internet的Microsoft Data Engine (MSDE)的开发者,或者是在需要的时候,能很容易连接Internet的那些没有经过过滤的后台服务器的用户,他们在DMZ中使用测试数据库时,SQL Server对那些热衷于安全问题的专家——包括保护者和攻击者而言都是一个丰富的资源。 本书的主要读者对象定位在计算机安全领域的专业人员、数据库管理员和兼负SQL Server服务器和服务器应用程序安全管理任务的所有人。本书详细地介绍了各种基础知识,因此学习本书没有必要事先了解整个SQL Server的内置安全机制。但是理解这些内置安全机制。
作者简介
Chip Andrews是一位安全专家,在国际重量级安全会议上担任得要发言人。他维护着SQL Security.com网站并为一些杂志,如Microsoft Certifide Professional、SQL Server Magazine,撰写SQL Server安全和软件开发方面的文章。
David Litchfield是NGS软件公司的创始人,
书籍目录
第1章 SQLServer安全:基础知识 1.1 SQLServer的历史 1.2 SQLServer的版本 1.3 通用数据库安全技术 1.4 SQLServer的安全漏洞 1.4.1 病毒解析:Slammer为什么会如此成功 1.4.2 预防另一个可能的S1amm 1.5 小结第2章 围攻SQLServer.攻击过程分析 2.1 挑选理想的工具 2.2 数据还是主机 2.3 无需认证的攻击 2.3.1 利用缓冲区溢出 2.3.2 SQL监控器端口攻击 2.3.3 hello故障 2.3.4猎取密码 2.4 需要认证的攻击 2.4.1 缓冲区溢出 2.4.2 扩展存储过程 2.4.3 绕过访问控制机制 2.5 资源 2.6 代码列表1 2.7 代码列表2 2.8 代码列表3第3章 SQLSenter的安装技巧 3.1 规划安装过程 3.1.1 数据安全 3.1.2 容错能力 3.1.3 备份方案 3.1.4 灾难恢复 3.2 操作系统的因素 3.3 运行安装程序 3.4 锁定服务器 3.5 核对列表第4章 网络库和安全连接 4.1 客户/服务器连接 4.2 安全套接字层 4.2.1 SSL基础 4.2.2 SSL的配置 4.3 SQLServer网络库 4.3.1 主网络库 4.3.2 从网络库 4.4 配置连接 4.4.1 服务器网络实用程序 4.4.2 客户端网络实用程序 4.5 优秀的经验 4.5.1 永远不要向互联网暴露您的SQLServer端口 4.5.2 尽可能使用TCP/IP网络库 4.5.3 在确实需要时再配置网络库 4.5.4 使用128位的SSL连接而不要使用40位的SSL连接 4.5.5 设置一个SSL证书以确保进行安全登录 4.5.6 对高敏感的数据进行强制加密 4.5.7 配置TCP/IP的时候请使用隐藏服务器选项第5章 认证和授权 5.1 认证(Authentication) 5.1.1 登录 5.1.2 数据库用户 5.1.3 角色 5.2 授权(AuthOhzatiOn)和许可(Permissions) 5.2.1 GRANT、REVOKE和DENY 5.2.2 审核访问(AuditingAccess) 5.2.3 所有权链(OwnershipChains) 5.3 SyslOginS、Sysprotects、Syspermissions和其他特殊账户 5.3.1 SID与SUID 5.3.2 syslogins和sysxlogins 5.3.3 SySUSer3 5.3.4 syspermissions 5.3.5 sysprotects 5.4 优秀的经验 5.4.1 Windows活动目录:集中式管理 5.4.2 SQLServer集中式角色管理 5.4.3 挑选适当的方法第6章 企业中的SQLServer 6.1 SQLServer的复制 6.1.1 复制操作概论 6.1.2 复制时要考虑的安全问题 6.2 多服务器系统管理 6.3 活动目录集成第7章 审核与入侵检测 7.1 案例分析 7.1.1 RetailCo数据库的运作规模 7.1.2 RetailCo的管理结构 7.1.3 安全策略 7.1.4 怪异之事和合乎法律程序的检查 7.1.5 结论 7.2 SQLServer审核 7.2.1 启用标准的审核 7.2.2 C2级审核 7.2.3 扩展审核功能 7.2.4 使用内置跟踪函数配置手动审核 7.3 SQLServer警报 7.3.1 配置SQLServer警报 7.3.2 将SQLServer警报用作入侵检测系统第8章 数据加密技术 8.1 加密技术概览 8.2 哈希算法 8.3 Salt(Salts) 8.4 密钥管理 8.5 内置加密函数 8.6 加密自定义存储过程 8.7 加密SQLServer表数据 8.8 SQLServer网络通信的加密 8.9 中间层加密 8.10 第三方COM组件 8.11 加密API第9章 SQL注入:当防火墙鞭长莫及时 9.1 SQL注入简述 9.2 案例研究:在线外贸交易系统 9.2.1 审核技术 9.2.2 漏洞识别 9.2.3 攻击系统 9.2.4 案例分析 9.3 高级主题 9.3.1 利用时间延迟提取有用信息 9.3.2 系统级攻击 9.3.3 为什么SQLServer容易受到SQL注入的攻 9.3.4 攻击方式 9.4 SQL注入的防护 9.4.1 输入验证(1nputValidation) 9.4.2 鉴别不好的设计 9.4.3 增强设计 9.5 优秀的经验 9.5.1 设计 9.5.2 开发/实现 9.5.3 QA/测试 9.5.4 配置第10章 安全体系结构 10.1 深度防护 10.2 安全性需求 10.2.1 收集需求 10.2.2 已有的环境 10.2.3 理解应用程序的安全需求 10.2.4保护您的应用程序 10.3 规划 10.3.1 依托技术做决策 10.3.2 依托评审过程做决策 10.3.3 依托代码标准做决策 10.3.4 防止安全水准的下降 10.4 开发 10.4.1 良好的编码习惯 10.4.2 编写存储过程的一些良好的习惯 10.4.3 输入验证 10.4.4 推荐的开发防护措施 10.4.5 一些不好的编码习惯及其克服方法 10.5 测试 10.5.1 测试的手段 10.5.2 模糊化处理(Fuzzing) 10.5.3 一些技巧 10.5.4 深度覆盖 10.5.5 结果报告 10.6 配置 10.6.1 配置的规划 10.6.2 过程的构造 10.6.3 问题的解决方法 10.7 维护 10.7.1 安全+不安全=不安全 10.7.2 阅读日志 10.7.3 注意收集证据附录A 系统存储过程与扩展存储过程 A.1 限制存储过程的风险 A.1.1 将攻击范围压缩到最小 A.1.2 将访问权限降到最低 A.1.3 将应用程序运行时的账产权限调整到最小 A.2 存储过程的攻击策略 A.2.1 创建特洛伊木马存储过程 A.2.2 利用社会工程学使用系统存储过程 A.3 高危险性的系统存储过程和扩展存储过程 A.3.1 访问注册表的扩展存储过程 A.3.2 暴露SQLServer开发环境中的存储过程 A.3.3 OLE自动化扩展存储过程 A.3.4 访问操作系统的存储过程 A.3.5 使用电子邮件的存储过程 A.4 防御策略 A.4.1 删除不需要的存储过程 A.4.2 撤销存储过程的公共访问权限 A.4.3 审核和跟踪对于SQLServer源代码和许可的变更附录B 影响SQLServer安全的一些其他技术 B.1 ⅥsualStu出O、MicrosonOmce和COM连通性工具 B.1.1 Ⅵsual StudiO B.1.2 Microson Of6Ce" B.1.3 数据访问API B.2 SQLServerMail接口 B.2.1 SQLMall B.2.2 SQLAgentMail B.3 Internet信息服务集成 B.4 SQLServer开发员和系统管理员工具 B.4.1 SQL-DMO B.4.2 SQL-NS B.4.3 DB-Library APl B.4.4 1SQL.exe和OSQLex~工具 B.4.5 分发组件 B.4.6 服务器的连接 B.4.7 数据传输服务DTS B.4.8 批复制DTS任务 B.4.9 扩展存储过程的开发 B.4.10 列表数据流TDS附录C 连接字符串 C.1 连接属性 C.2 连接字符串示例 C.3 连接字符串的存放位置 C.3.1 Web.conflg(ASP.NET)或global.asa(ASP)文件 C.3.2 注册表 C.3.3 使用DPAPI加密的文本文件 C.3.4 UDL文件 C.3.5 包含文本文件 C.3.6 COM+目录附录D 安全核对列表 D.1 SQLServer版本核对列表 D.2 Post-Install核对列表 D.3 维护核对列表
图书封面
图书标签Tags
无
评论、评分、阅读与下载