分类： 程序

　　*******************Transact_SQL********************
　　--语 句 功 能
　　--数据操作
　　Select --从数据库表中检索数据行和列
　　Insert --向数据库表添加新数据行
　　Delete --从数据库表中删除数据行

摘录如下:
说实话如果一个网站的前台都是注入漏洞,那么凭经验,
万能密码进后台的几率基本上是百分之百.
可是有的人说对PHP的站如果是GPC魔术转换开启,
就会对特殊符号转义,就彻底杜绝了PHP注入.
其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台.
其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有.
如果你用这样的万能密码'or'='or',当然进不去,

这个编辑器按脚本分主要有4个版本，ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞。

判断网站是否使用了eWebEditor
查看程序源代码，看看源码中是否存在类似“ewebeditor.asp?id=”语句，只要有此语句的存在，就能判断网站确实使用了WEB编辑器。另外一种方法就是站上新闻或者其他板块上找图片、附件等的链接，是否为admin/eWebEditor/UploadF

　　=======================================
　　数据库安全安全方向简析
　　网路游侠 www.youxia.org 更新：2009年05月30日
　　=======================================

　　----------

什么是MSGWipe？
——MSGWipe是一款符合美国国防部标准的综合性的IM聊天记录删除工具。
目前可以搞定的有：
·腾讯QQ
·Skype
·MSN
·淘宝旺旺
·飞信Fetion
·新浪UC
·雅虎通
·百度Hi
·GoogleTalk

使用很简单——选中帐号右键点“擦除目标”即可！

在本地安装个PHP的CMS，结果总是提示错误 #2003 - 服务器没有响应 任务管理器的mysqld-nt.exe进程自动退出 看系统日志也没什么，于是挺郁闷…… 于是相当的郁闷 查看和端口相关联的端口，居然QQ也占用了3306! 192.168.1.65是本机地址，Apache也开启了SSL 但是想不明白为什么QQ为什么会和他们有关联? 注销QQ重新进入，一切都好了…… 当然，我在网上搜资料的...

　　很多人会和网路游侠一样，总感觉MySQL不好管理，虽然有phpMyadmin，但是总感觉和Microsoft SQL Server的企业管理器差距甚远……
　　于是，天空一声巨响——Navicat MySQL诞生了！

...

我想这个都不用多说了吧？刚网站的FTP密码忘了，打开FlashFXP虽然能上传，但是总感觉不爽……搜了，找到很多，但是不少被杀毒干掉了，搜了好几个，找到这个，比较好用、很方便。

　　锐视数据库监控审计系统
　　随着信息化应用的日益普及，数据库应用已经逐步成为每个企业的核心基础。目前很多企业已经在操作系统、网络系统、应用系统的安全性方面采取了很多的权限控制和安全审计措施，但针对数据库的访问监测和安全审计却仍然没有引起足够重视，或已经重视却没有引进强有力的技术支持手段。
　　首先，从安全角度，数据库安全不仅仅包括其自身的权限控制，还应包括具有合法权限身份的角色对其中数据访问的逻辑合理性监测，而这恰恰是内部操作风险威胁所在点。更由于合法权限的可转移性特点（如非法获知他人的用户及密码），我们更需要关注合法权限的合理使用。
...

　　数据库是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户的信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和账号数据，战略上的或者专业的信息，比如专利和工程数据，甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取受到很多方面的安全威胁，包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。
　　
　　微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的，多数管理员认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉，而数据库管理员又对安全问题关心太少，而且一些安全公司也忽略数据库安全，这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都比较难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库属于“端口”型的数据库，这就表示任何人都能够用分析工具试图连接到数据库上，从而绕过操作系统的安全机制，进而闯入系统、破坏和窃取数据资料，甚至破坏整个系统。
...

目前市面上的数据库审计也不少了
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然，从数据库审计的方面考虑，现在都不是大的问题

但是：如何能直接禁止远程用户操作数据库呢？
比如直接禁止远程对admin表的update或select

想了下，可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能

在这个数据库防火墙上，只允许设置黑名单
如在黑名单可进行如下设置：
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作

大体上这样子，几分钟时间写出来的，可能很不全……

就现在的技术来说：
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS，有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度

现有的产品几乎全部是旁路监听，只有审计
如果做个“数据库防火墙”似乎市场前景不错……

Idea by ： 网路游侠
Blog：https://www.youxia.org
QQ：55984512

　　为了规范全国数据库安全审计产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求，作为对其进行检测的依据。

　　北京安信通网络技术有限公司与清华大学在合作成功开发出“数据库安全扫描系统”后，在此基础上，又开发了具有国际水平的涉密数据库安全检查系统，其主要功能是：利用数据库服务器存在的漏洞，能够在没有授权的情况下，以高级的权限（一般是管理员）进入到数据库系统或操作系统中，并可以获取对方数据库的重要资料，此系统专为各重要部门监督、检查其下级单位的数据库系统使用，为他们提供了一套行之有效的检查工具和风险评估工具。
　　
　　产品概述　　
　　数据库安全扫描系统,通过数据库存在的各种漏洞对数据库进行渗透式测试，分为两种方式：检查默认口令、运行渗透检测程序。用户可以明确得知数据库的存在安全隐患，以便及时修复，防患于未然。　　
...

DAS-DBSCAN是杭州安恒（DBAPPSecurity）在深入分析研究ORACLE数据库典型安全漏洞以及流行的攻击技术基础上，研制开发的一款数据库安全评估工具。

DAS-DBAuditor主要的功能模块包括“自动化风险评估、动态建模、实时监控与防御、全方位审计分析、配置管理及综合查询、SOX审计”几个部分。