| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

安全防范

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·双网卡共享上网解析
·常用端口对照详解
·技巧:多种途径访问局域网中的计算机
·代理服务器使用祥解
·在家远程控制公司的局域网电脑
·在Windows XP****享上网
·最新奇迹****复制漏洞大全(含98c)
·为什么局域网中机器PING通却不能上网?
·局域网共享资源安全防护大全
·远程破OICQ密码给工具QQExplorer ver 1.25介绍

站内搜索

SQLServer7.0sa帐号密码攻击法
使用一个很简单的策略,就可以随意的改变SQL 7.0服务器的SA(system administrator)的密码.MS SQL Server 7.0在master.mdf使用sysxlogins表对象保存登陆信息.它的password字段的类型是varbinary(256)。执行这样的一个查询"select name, convert(varchar(256), password) from sysxlogins"将返回和密码等价的字符串。有趣的是密码是被保存为16个字节的数值。所以如果密码少与16个字节也产生一个16个字节长的加密字符串。这个固定长度的密码被保存在sysxlogins表中的一个固定位置。.如果密码多与16个字符,那么前16个字符还是保存在同样的位置。所以我们只要这样一来做就可以改变这个SA管理帐号的密码:

  a) 找到这个适当的加密字符

  b) 找到在sysxlogins表中密码的偏移位置

  c) 定位到记录sa

  d) 替换password字段

  
  证实过程

  要成功的改变密码,SQL Server应该要在修改其间停止运行,并且你必须要拥有对SQL数据目录的读写访问权限。这的确限制了这个安全漏洞,但是使用其它的技术可以绕过这个限制。

  合理运用这个方法,你也完全可以把它当成一个管理工具,一旦当你的SQL Server的SA密码丢失时,可以恢复数据库使用。

  
  防范方法

  由于这个漏洞必须是在SQL Server停止服务的时候才能够进行,最简单的办法就是严格保护你的系统中对DATA和BACKUP目录文件的访问权限。让服务器上的服务启动权限只有管理员帐号才能够拥有。但是有一种SQL Crash攻击可以让SQL Server停止服务。简要信息如下:

  这种攻击方法被称为:“Malformed TDS Packet Header”漏洞。如果一个特定格式的TDS数据包被发送给SQL server,将导致服务器Crash.这种攻击将导致不能够访问服务器上的数据,但是它也不能够让攻击者自己控制这台服务器。而只要重新启动SQL Server就能够解决这个问题。但是唯一的缺陷是,如果受攻击的机器开放了1433端口,允许远程访问SQL Server数据库的话,有恶意的人就可以使用上面提到的那个方法修改SA帐号的密码。

  
  解决方案:

  1。首先下载最新的补丁解决“Malformed TDS Packet Header”漏洞。这有这个漏洞的详细描述:

  http://www.microsoft.com/technet/security/bulletin/fq99-059.asp

  2。尽量使用SQL SERVER的第二种登陆方式:Windows NT Authentication 方式下面是一篇详细介绍有关SQL Server安全设置的文章。

  http://www.microsoft.com/sql/DeployAdmin/Security.doc




相关文章
  • 浅谈如何在惊云下载系统中防范注入式攻击
  • 入侵NTserver典型途径攻击基础
  • 防范网页木马的攻击
  • 防范SQL注入式攻击JS版本
  • 用ASP.NET 1.1 新特征防止Script攻击
  • 剖析"拒绝服务"攻击-SYN拒绝服务
  • Winamp发现危险漏洞!攻击代码已经出现
  • 防范SQL注入式攻击
  • 中小型网站如何对付DoS攻击
  • php程序常见漏洞攻击宝典
  • 中小网站如何对付DoS攻击(中级)
  • W2kUtilManExp攻击程序代码及工具分析
  • 黑客攻击手段揭秘
  • SYN Flood攻击的基本原理及防御
  • 一次被DNS攻击后的分析
  • 防止E-MAIL信箱被攻击
  • 网络攻击概述
  • 修改注册表提高Win2000抗拒绝服务攻击能力
  • MYSQL用户root密码为弱口令又一攻击方法
  • 典型DoS攻击原理及抵御措施
  • 相关软件


    下载首页关于我们广告服务联系方式常见问题隐私声明法律条款本站声明下载帮助发布软件站点地图谷歌卫星地图