当前位置：文江博客话题详情

DBO会对服务器造成什么危害？

发布于 2024-07-09 04:43:56 字数 213 浏览 6 评论 0原文

除了执行我在 SQL 2005 安装中禁用的 XP_CmdShell 之外，获得数据库 DBO 权限的恶意用户还能做什么：

对我的数据库、
对我的服务器？

我正在评估某人获取 DBO 来证明在应用程序中运行“最低权限”用户帐户的最坏情况的安全风险。一些人声称，由于我们不使用“机密数据”，因此某人获得 DBO 的影响微乎其微。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

挽袖吟 2024-07-16 04:43:56

他可以运行任何 XP_ 存储过程，因此它可能会弄乱注册表并弄乱您的整个服务器。
删除/更改表等...

回复收藏 0 原文

世界如花海般美丽 2024-07-16 04:43:56

dbo 是数据库所有者 - 可能是也可能不是 sa。作为 dbo，您基本上可以自由控制拥有的数据库 - 显然，这可能会导致权限更改、删除表等。

作为 sa，您可以自由控制服务器。这包括安装新的扩展过程（如果启用了 CLR，则安装 .NET 程序集），以及 dbo 可以执行的所有操作（对于所有数据库）。并且，您还可以再次启用xp_cmdshell。

回复收藏 0 原文

澉约 2024-07-16 04:43:56

网上有很多关于 SQL 注入的信息。限制连接 SQL 的用户的权限是一项非常重要的措施。

http://en.wikipedia.org/wiki/SQL_injection

这是一个简单、可怕的例子几年前遇到过。网站使用 URL 即时生成 SQL 语句并运行它们。我能够猜测像

www.blah.com/.../load.aspx?itemid=1

这样的 URL会产生这样的 SQL

SELECT * FROM items where id=1

所以我发送了这个 url：

www.blah.com/。 ../load.aspx?itemid=1;删除表项

。

至少，如果数据库连接不是 dbo，这将会失败。

回复收藏 0 原文

那片花海 2024-07-16 04:43:56

说白了，如果他拥有你的数据库，他就侵占你的数据库。也就是说，您可以和数据说再见了。

回复收藏 0 原文

挖鼻大婶 2024-07-16 04:43:56

也就是说，您可以和数据说再见了。

但是您在磁盘上和磁带上都有备份，所以您是黄金！

回复收藏 0 原文

独守阴晴ぅ圆缺 2024-07-16 04:43:56

是的。典型的防御是“好吧，至少他不能弄乱数据库之外的任何东西”（xp_CmdShell 未启用）。我，我觉得家里锁着的壁橱里有一个疯狗强奸犯，我感到不舒服。但这种类比对于管理层来说并不是一个很好的说服力。

回复收藏 0 原文

~没有更多了~

关于作者

纵情客

暂无简介

0 文章

0 评论

21 人气

关注发私信

友情链接

文江博客

DBO会对服务器造成什么危害？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（6）

关于作者

相关话题

热门标签

推荐作者

qq_FjTq5B

18273202778

WordPress小学生

〃温暖了心ぐ

迷乱花海

niuniu

友情链接

DBO会对服务器造成什么危害？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（6）

关于作者

相关话题

热门标签

推荐作者

qq_FjTq5B

18273202778

WordPress小学生

〃温暖了心ぐ

迷乱花海

niuniu

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。