タグ付けされた質問 「security」

ストアドプロシージャがPostgreSQLデータベースに対するSQLインジェクション攻撃を防ぐのは本当ですか？少し調べてみると、ストアドプロシージャのみを使用していても、SQL Server、Oracle、MySQLはSQLインジェクションに対して安全ではないことがわかりました。ただし、この問題はPostgreSQLには存在しません。 PostgreSQLコアのストアドプロシージャの実装は、SQLインジェクション攻撃を防ぎますか？または、ストアドプロシージャのみを使用する場合でも、PostgreSQLはSQLインジェクションの影響を受けますか？もしそうなら、例を示してください（本、サイト、論文など）。

83 postgresql  security  sql-injection 

ドメイン上のすべての内部アプリケーションで統合セキュリティを使用したいと思います。残念ながら、私はこれをうまく機能させることができませんでした。特定のテーブルへの読み取り/書き込みアクセスのために、Exchange（Active Directory）グループ全体にSQL Serverのロールを割り当てたいと思います。そうすれば、誰かが雇われるたびにオペレーターを作成したり、誰かが解雇されたときにオペレーターを削除したりする必要がなくなります。これは可能ですか？これを行うにはどのような手順を実行しますか？

40 sql-server  sql-server-2008  security  role  active-directory 

最近、mysql.dbに関する質問への回答を投稿しました。 それから、私は皆にこの質問をするべきだと考えました： 何年もの間、MySQL 5.0+のインストール時にmysql.db、匿名ユーザーがテストデータベースにアクセスできるようにする2つのエントリが存在することに気づきました。 次のクエリを実行して確認できます。 mysql> select * from mysql.db where SUBSTR(db,1,4) = 'test'\G *************************** 1. row *************************** Host: % Db: test User: Select_priv: Y Insert_priv: Y Update_priv: Y Delete_priv: Y Create_priv: Y Drop_priv: Y Grant_priv: N References_priv: Y Index_priv: Y Alter_priv: Y Create_tmp_table_priv: Y Lock_tables_priv: Y Create_view_priv: Y Show_view_priv: …

37 mysql  security 

一般に、新しい環境で開始するとき、バックアップの場所、最後のフルバックアップが行われた時刻、最後の復元が適用された時刻、およびセキュリティも確認します。 これを行うには、T-SQLを使用します。 バックアップを確認する ;with Radhe as ( SELECT @@Servername as [Server_Name], B.name as Database_Name, ISNULL(STR(ABS(DATEDIFF(day, GetDate(), MAX(Backup_finish_date)))), 'NEVER') as DaysSinceLastBackup, ISNULL(Convert(char(11), MAX(backup_finish_date), 113)+ ' ' + CONVERT(VARCHAR(8),MAX(backup_finish_date),108), 'NEVER') as LastBackupDate ,BackupSize_GB=CAST(COALESCE(MAX(A.BACKUP_SIZE),0)/1024.00/1024.00/1024.00 AS NUMERIC(18,2)) ,BackupSize_MB=CAST(COALESCE(MAX(A.BACKUP_SIZE),0)/1024.00/1024.00 AS NUMERIC(18,2)) ,media_set_id = MAX(A.media_set_id) ,[AVG Backup Duration]= AVG(CAST(DATEDIFF(s, A.backup_start_date, A.backup_finish_date) AS int)) ,[Longest Backup Duration]= …

32 sql-server  sql-server-2014  backup  restore  security 

シナリオ：データベースのバックアップを渡され、サーバー（他のデータベースを既にホストしている）に復元するように指示されましたが、バックアップの内容やソースを信頼する必要があるかどうかに関する有用な情報は提供されません。 質問1：悪意のある可能性のあるバックアップの復元の潜在的な影響は何ですか？ 質問2：悪意のある可能性のあるバックアップの復元の影響から、サーバー/他のデータベースのデータを保護するために何ができますか？RESTORE VERIFYONLY良い最初のステップのようです。最終的な答えは、おそらく「外の世界へのアクセスのないサンドボックスVMにデータベースを復元する」でしょうが、そのオプションはテーブルから外れていると仮定しましょう。この状況で他に何をすべきですか？

31 sql-server  backup  security 

主要なブラウザはSSL3.0およびTLS1.0を超えています。 PCIセキュリティ評議会は、これらのプロトコルが十分に強力な暗号化と見なされるためのサポート終了日を宣言しています。 新しい強力なプロトコルを使用するには、これらのプロトコルから離れる必要があります。Windowsサーバーでは、これらの古いプロトコルを簡単に無効にして、代わりにTLS1.1以上のみを提供できます。ただし、別の箇所で述べたように、Microsoft SQL Server 2008 R2とSQL Server 2012（少なくとも標準）は、これらの下位プロトコルが無効になっている場合、両方とも起動しません。ただし、MS SQL Serverのバージョンは増え続けています。SQL Server Standard、Business Intelligence、Enterprise、Express、Web、およびCompactエディションがあります。そしてもちろん、SQL Server 2008、2012、2014、および（プレリリース版）2016があります。 これらのエディションのどれがTLS1.1以上のプロトコルのみの使用をサポートしていますか、またはサポートしますか？

30 sql-server  security  connectivity  ssl 

Oracleは、OSに応じて認証を廃止されたOracle Databaseセキュリティ・ガイド言いれ、 REMOTE_OS_AUTHENTパラメータはOracle Database 11gリリース1（11.1）で非推奨となり、下位互換性のためにのみ保持されていることに注意してください。 さらに、ほとんどのセキュリティ情報とツールは、OS（外部）認証をセキュリティの問題と見なし ています。なぜそうなのかを理解しようとしています。OS認証のいくつかの利点を次に示します。 OS認証がなければ、アプリケーションは、それぞれ独自のセキュリティモデルと脆弱性を持つさまざまなアプリケーションにパスワードを保存する必要があります。 ドメイン認証はすでに安全でなければなりません。そうでない場合、データベースセキュリティはデータベースへのアクセスを遅くするだけで、それを防ぐことはできません。 1つのドメインパスワードのみを覚える必要があるユーザーは、接続する必要があるさまざまなデータベースの数が増えるにつれて、安全性の低いデータベースパスワードを作成するよりも簡単に、より安全なドメインパスワードを作成できます。

29 oracle  oracle-11g-r2  security 

このSQLを実行すると： USE ASPState GO IF NOT EXISTS(SELECT * FROM sys.sysusers WHERE NAME = 'R2Server\AAOUser') CREATE USER [R2Server\AAOUser] FOR LOGIN [R2Server\AAOUser]; GO 次のエラーが表示されます。 ログインにはすでに別のユーザー名でアカウントがあります。 ログインアカウントのこの異なるユーザー名を知るにはどうすればよいですか？

29 sql-server  security  logins 

MicrosoftでさえSQL Server認証モードの使用を推奨していませんが、アプリケーションではそれが必要です。 ユーザーにsaログインを直接使用させないで、代わりにWindows認証を使用し、それらのアカウント（またはアカウントグループ）のsysadmin特権を許可することがベストプラクティスであることを読みました。 それは本質的に同じものではありませんか？長所/短所は何ですか？ ベストプラクティスは、SQL Serverインスタンスのセキュリティをどのように向上させますか？ これは本番インスタンスのみに適用されますか、それとも社内開発インスタンスにも適用されますか？

25 sql-server  security 

マシンでsaパスワードを失い、adminグループのアカウントを使用してマシンに直接ログインすると、SQL Server Management StudioはWindows認証を使用したログインを許可しません。 私の計画は、単にサーバーにログインし、Windows認証を介して接続し、saをリセットして新しいパスワードを使用することでした。Windows認証経由で接続できないため、これは機能しません。 saパスワードをリセットするにはどうすればよいですか？

22 security  sql-server-2000 

この質問は、データベース管理者のStack Exchangeで回答できるため、Stack Overflowから移行されました。 7年前に移行され ました。 MSSQLサーバー2005に、すべてのデータベースユーザーの実行を許可するジョブがあります。 ジョブの実際の作業への入力はデータベーステーブルから取得されるため、セキュリティについては心配していません。そのテーブルにレコードを追加せずにジョブを実行するだけでは何も実行されません。 仕事に公共の許可を与える方法を見つけることができません。 これを行う方法はありますか？この時点で考えることができる唯一のことは、ジョブを絶えず実行する（またはスケジュールどおりに実行する）ことです。存在するとすぐに行われますが、これは最適なソリューションではないようです。

22 sql-server  sql-server-2005  permissions  security 

従来、セキュリティのベストプラクティスの一環として、SQL Serverへの接続にデフォルトポートを使用しないことが推奨されてきました。単一のデフォルトインスタンスを持つサーバーでは、デフォルトで次のポートが使用されます。 SQL Serverサービス-ポート1433（TCP） SQL Server Browserサービス-ポート1434（UDP） 専用管理接続-ポート1434（TCP） 質問： このアドバイスはまだ関係がありますか？ 上記のすべてのポートを変更する必要がありますか？

21 sql-server  security  best-practices  dynamic-ports 

SQL Serverデータベースへのインジェクション攻撃に対する回復力をテストしています。 dbのすべてのテーブル名は小文字であり、照合は大文字と小文字を区別するLatin1_General_CS_ASです。 送信できる文字列は大文字に強制され、最大26文字の長さにすることができます。したがって、テーブル名が大文字になり、照合のためにステートメントが失敗するため、DROP TABLEを送信できません。 だから-私は26文字でできる最大のダメージは何ですか？ 編集 パラメーター化されたクエリなどについてはすべて知っています。送信するクエリを作成するフロントエンドを開発した人が、この場合はparamsを使用しなかったとします。 また、私は悪意のあることをしようとはしていません。これは、同じ組織内の他の誰かによって構築されたシステムです。

21 sql-server  t-sql  security 

私の最初の質問は、穏やかにしてください。saアカウントは、SQL Serverおよびすべてのデータベース、ユーザー、アクセス許可などを完全に制御できることを理解しています。 完璧な、ビジネスマンに焦点を当てた理由がない限り、アプリケーションはsaパスワードを使用すべきではないという絶対的な信念を持っています。この質問への回答には、ITに焦点を当てた議論の多くの理由が含まれています saパスワードを使用しないと機能しない新しいサービス管理システムの受け入れを余儀なくされています。評価を設定するときにサーバーチームがそれをインストールして、db_createrと必要だと思った他のアクセス許可を組み込んで設定した固定ロールを使用しようと試みた理由を解決する時間はありませんでした。失敗しました。次に、サーバーチームにsaアカウントを使用してインストールさせますが、そのデータベースのdboロールのアカウントで実行しましたが、それも失敗しました。不機嫌なことに、私はsysadminロールのアカウントで実行しようとしましたが、それでも失敗し、利用可能な時間よりも多くの時間を費やすことなく何が起こっているのかを理解できる有用なエラーメッセージがありませんでした。構成ファイルにクリアテキストで保存されたsaアカウントとパスワードでのみ機能します。 これを問い合わせると、サーバーチームがベンダーと話し合ったところ、「問題は何ですか？」そして、「パスワードのスクランブルを見ることができます」スクランブルffs 私はファイルへのアクセスを制限する方法と手段があることを知っていますが、それは私の意見ではセキュリティの別の弱点です とにかく、私の質問は、誰かが私がビジネスにこれが悪いことであり、大きなノーノーである理由を説明するために使用できるいくつかのドキュメントを私に指すことができますか？私は、セキュリティを真剣に考える必要があるという分野で働いており、ビジネスを理解するのに苦労しており、最終的にはいずれにしても上位にランクされる可能性がありますが、試してみる必要があります。

21 sql-server  sql-server-2008  security 

特定のログインのプロパティを見ると、そのログインにマップされているユーザーのリストを見ることができます： SQL Server Management Studio（SSMS）のプロファイルを作成しましたが、SSMSはすべてのデータベースに一度に1つずつ接続し、sys.database_permissionsから情報を取得することがわかりました 上記のユーザーマッピング情報を取得する単一のクエリを作成することは可能ですか、それともカーソルやsp_MSforeachdbなどを使用する必要がありますか？

19 sql-server  sql-server-2008  permissions  security  logins