幾條相對於SQL Server密碼的潛威脅判斷

密碼測試無需計畫

當進行測試時，直接就開始嘗試破解密碼將是乙個很大的錯誤。無論你是在本地還是通過網際網路進行測試，我都強烈建議你獲得許可權，並建議乙個帳戶被鎖定後的回滾方案。最後你要做的就是確保在賬戶被鎖定時，資料庫使用者無法進行操作，而且與之相連的應用程式也將無法正常執行。

通過網際網路，密碼仍然是安全的

對於通過混合方式實現的sql server，你可以很容易的通過一些分析軟體(比如omnipeek、ethereal)立刻從網上抓到它的密碼。同時，cain and abel可以用來抓取基於tds的密碼。你可能以為通過內網交換機就可以避免這一問題?然而，cain的arp中毒路由功能就可以很輕鬆的破解它。在大約一分鐘之內，這個免費軟體就可以攻破你的交換機，並看到本地網路的內部資料交換，從而幫助其它軟體更容易的抓取密碼。

事實上，問題並沒有就此結束。有些誤解認為在sql server中使用windows身份驗證是很安全的。然而，事實並非如此。上述軟體同樣可以迅速的從網上抓到windows、web、電子郵件等相關的密碼，從而獲得sql server的訪問許可權。

通過使用密碼政策，我們就可以不用測試密碼無論你的密碼政策有多嚴厲，卻總會有一些辦法可以繞開它。比如現在有乙個未進行配置的伺服器、乙個windows域外的主機、乙個未知的sql server或者一些特殊的工具，它們可以破解最強壯的密碼。這些東西就可以利用你密碼的弱點並是你的**政策變得無效。

另外，同樣重要的是，有些測試結果可能會說由於你的密碼已經非常強壯，你的資料庫很安全，但你千萬不要輕信。一定要自己在測試並驗證一下，密碼缺陷是否還在。儘管你可能會覺得一切都很好，但實際上你可能落掉了一些東西。

既然sql server密碼是不可重獲的，那如果我知道他很強壯、很安全，我為什麼要破解他呢?

事實上，sql server的密碼是可以重獲的。在sql server 7和sql server 2000中，你可以使用像cain and abel或者收費的ngssqlcrack這種工具來獲得密碼雜湊表，而後通過暴力對其破解進行攻擊。這些工具使你可以對sql server密碼sha雜湊表進行反向工程。儘管破解的結果並不能夠保證，但它確實是sql server的乙個弱點。

使用mbsa檢查過sql server密碼的缺陷，並沒有發現什麼嚴重的問題

microsoft baseline security analyzer是乙個用來**sql server弱點的工具，但他並不完善，特別是在密碼破解方面。對於深層的sql server和windows密碼破解，我們需要使用第三方軟體，如免費的sqlat和sqlninja(可以在sqlping 3中找到)和windows密碼破解工具，如elcomsofts proactive password auditor和ophcrack。

此外，使用在sql server中使用windows身份驗證並不表示你的密碼就是安全的。一些人只要了解如何破解windows密碼，在花一些時間，就可以破解你的密碼並控制整個網路。特別是，如果他們使用<>ophcracks livecd來攻擊乙個物理上不安全的windows主機，比如膝上型電腦或者易可達的伺服器，那將變得更加容易。

只需擔心你的主資料庫伺服器

我們很容易把關注點集中在自己的sql server系統上，而忽略了網路中可能有的msde、sql serve express和其它一些可能的sql server程式。這些系統可能正在使用不安全的預設設定，甚至根本就沒有密碼。通過使用sqlping 3這樣的工具來對資料庫伺服器上的這些系統進行攻擊，你將很容易地被破解。

幾條相對於SQL Server密碼的潛威脅判斷

WPF 獲得滑鼠相對於螢幕的位置，相對於控制項的位置

WPF 獲得滑鼠相對於螢幕的位置，相對於控制項的位置

springMVC 相對於 Structs 的優勢

幾條相對於SQL Server密碼的潛威脅判斷

WPF 獲得滑鼠相對於螢幕的位置，相對於控制項的位置

WPF 獲得滑鼠相對於螢幕的位置，相對於控制項的位置

springMVC 相對於 Structs 的優勢

相關推薦