这个编辑器按脚本分主要有4个版本,ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞。
判断网站是否使用了eWebEditor
查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。另外一种方法就是站上新闻或者其他板块上找图片、附件等的链接,是否为admin/eWebEditor/UploadF
网络安全和数据安全:资讯、技术、法规、趋势……
这个编辑器按脚本分主要有4个版本,ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞。
判断网站是否使用了eWebEditor
查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。另外一种方法就是站上新闻或者其他板块上找图片、附件等的链接,是否为admin/eWebEditor/UploadF
=======================================
数据库安全安全方向简析
网路游侠 www.youxia.org 更新:2009年05月30日
=======================================
———-
什么是MSGWipe?
——MSGWipe是一款符合美国国防部标准的综合性的IM聊天记录删除工具。
目前可以搞定的有:
·腾讯QQ
·Skype
·MSN
·淘宝旺旺
·飞信Fetion
·新浪UC
·雅虎通
·百度Hi
·GoogleTalk
使用很简单——选中帐号右键点“擦除目标”即可!
在本地安装个PHP的CMS,结果总是提示错误 #2003 …
很多人会和网路游侠一样,总感觉MySQL不好管理,虽然有phpMyadmin,但是总感觉和Microsoft SQL Server的企业管理器差距甚远……
于是,天空一声巨响——Navicat MySQL诞生了!
…
我想这个都不用多说了吧?刚网站的FTP密码忘了,打开FlashFXP虽然能上传,但是总感觉不爽……搜了,找到很多,但是不少被杀毒干掉了,搜了好几个,找到这个,比较好用、很方便。
锐视数据库监控审计系统
随着信息化应用的日益普及,数据库应用已经逐步成为每个企业的核心基础。目前很多企业已经在操作系统、网络系统、应用系统的安全性方面采取了很多的权限控制和安全审计措施,但针对数据库的访问监测和安全审计却仍然没有引起足够重视,或已经重视却没有引进强有力的技术支持手段。
首先,从安全角度,数据库安全不仅仅包括其自身的权限控制,还应包括具有合法权限身份的角色对其中数据访问的逻辑合理性监测,而这恰恰是内部操作风险威胁所在点。更由于合法权限的可转移性特点(如非法获知他人的用户及密码),我们更需要关注合法权限的合理使用。
…
数据库是电子商务、金融以及ERP系统的基础,通常都保存着重要的商业伙伴和客户的信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和账号数据,战略上的或者专业的信息,比如专利和工程数据,甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。
微软的SQL Server是一种广泛使用的数据库,很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉,而数据库管理员又对安全问题关心太少,而且一些安全公司也忽略数据库安全,这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都比较难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库属于“端口”型的数据库,这就表示任何人都能够用分析工具试图连接到数据库上,从而绕过操作系统的安全机制,进而闯入系统、破坏和窃取数据资料,甚至破坏整个系统。
…
目前市面上的数据库审计也不少了
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然,从数据库审计的方面考虑,现在都不是大的问题
但是:如何能直接禁止远程用户操作数据库呢?
比如直接禁止远程对admin表的update或select
想了下,可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能
在这个数据库防火墙上,只允许设置黑名单
如在黑名单可进行如下设置:
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作
大体上这样子,几分钟时间写出来的,可能很不全……
就现在的技术来说:
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS,有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度
现有的产品几乎全部是旁路监听,只有审计
如果做个“数据库防火墙”似乎市场前景不错……
Idea by : 网路游侠
Blog:https://www.youxia.org
QQ:55984512
为了规范全国数据库安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。
北京安信通网络技术有限公司与清华大学在合作成功开发出“数据库安全扫描系统”后,在此基础上,又开发了具有国际水平的涉密数据库安全检查系统,其主要功能是:利用数据库服务器存在的漏洞,能够在没有授权的情况下,以高级的权限(一般是管理员)进入到数据库系统或操作系统中,并可以获取对方数据库的重要资料,此系统专为各重要部门监督、检查其下级单位的数据库系统使用,为他们提供了一套行之有效的检查工具和风险评估工具。
产品概述
数据库安全扫描系统,通过数据库存在的各种漏洞对数据库进行渗透式测试,分为两种方式:检查默认口令、运行渗透检测程序。用户可以明确得知数据库的存在安全隐患,以便及时修复,防患于未然。
…
DAS-DBSCAN是杭州安恒(DBAPPSecurity)在深入分析研究ORACLE数据库典型安全漏洞以及流行的攻击技术基础上,研制开发的一款数据库安全评估工具。
DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。
在看公司的数据库审计产品的时候,突然想到:
实际上Microsoft SQL Server自己也是有审核功能的
就是说:
可以利用Microsoft SQL Server自身的功能实现数据库审计
我笔记本电脑上装了SQL Server 2000,我们来看下:
·启用SQL服务就不说了,有智商就知道的
·打开SQL 事件探查器并Ctrl+N新建一个跟踪,哪种身份验证无所谓
·在弹出的对话框中直接点“运行”,因为这里是做测试,默认的已经可以了
这里默认在安全审核选择了Audit Login和Audit Logout
当然,左侧是“安全审核”子项可以审核到的语句,挺全的……
·登录查询分析器,我分别用Windows身份验证和SQL Server身份验证登录了一次
看到了没?我登录的事件被记录了……
记录:谁、在什么时候、做了什么事情。功能蛮好的
出差天黑才回到西安,累了,回头详细分析……
笔记本电脑内存不足,否则在虚拟机下搭建实验环境效果更好
包括:
数据库审计、Active Directory、组策略、DHCP、DNS、IPSec等
MCSE、CCNA、Linux以前培训的东西忘的差不多了
最近想做下这些,别彻底忘干净了就好。只是事情太多了……
为什么数据库审计软件对保护你的公司资产至关重要……
【IT专家网独家】现代的信息工作者听到一些通知之后会切身体会到他们祖先的颤抖,“审计人员来了!审计人员来了!”幸运的是,一些公司制作了一些数据库审计或者数据库活动监控软件,它们会将对“审计”这个词的反感情绪从四个字母的脏话转变为舒心的安慰。
上个月,Oracle和Lumigent分别为新的、改进了的产品揭幕,这些产品将让企