第一圖書(shū)網(wǎng) 首頁(yè) 藝術(shù) 管理 醫(yī)學(xué) 經(jīng)濟(jì) 法律 外語(yǔ) 建筑 港臺(tái) 計(jì)算機(jī) 分類 導(dǎo)航 手機(jī)版

SQL Server安全性

出版時(shí)間:2004-10-1  出版社:清華大學(xué)出版社  作者:Chip Andrews,David Litchfield,周俊杰  頁(yè)數(shù):250  字?jǐn)?shù):347000  譯者:周俊杰  
Tag標(biāo)簽:無(wú)  

內(nèi)容概要

創(chuàng)作本書(shū)的最初動(dòng)機(jī)是發(fā)現(xiàn)SQL Server是一個(gè)常常被人們忽視的安全領(lǐng)域。SQL Server功能強(qiáng)大,應(yīng)用廣泛,它已經(jīng)找到了進(jìn)入第三方軟件、開(kāi)發(fā)者的工作站和全球范圍內(nèi)重要后臺(tái)終端系統(tǒng)的方法。在進(jìn)行安全審核的時(shí)代,我們可以明確地告訴您,無(wú)論是從系統(tǒng)內(nèi)部或外部威脅到系統(tǒng)安全的時(shí)侯,SQL Server都已要成為并繼續(xù)成為最成功的突破目標(biāo)之一。無(wú)論是那些遠(yuǎn)程開(kāi)發(fā)者或在賓館房間中連接Internet的Microsoft Data Engine (MSDE)的開(kāi)發(fā)者,或者是在需要的時(shí)候,能很容易連接Internet的那些沒(méi)有經(jīng)過(guò)過(guò)濾的后臺(tái)服務(wù)器的用戶,他們?cè)贒MZ中使用測(cè)試數(shù)據(jù)庫(kù)時(shí),SQL Server對(duì)那些熱衷于安全問(wèn)題的專家——包括保護(hù)者和攻擊者而言都是一個(gè)豐富的資源。     本書(shū)的主要讀者對(duì)象定位在計(jì)算機(jī)安全領(lǐng)域的專業(yè)人員、數(shù)據(jù)庫(kù)管理員和兼負(fù)SQL Server服務(wù)器和服務(wù)器應(yīng)用程序安全管理任務(wù)的所有人。本書(shū)詳細(xì)地介紹了各種基礎(chǔ)知識(shí),因此學(xué)習(xí)本書(shū)沒(méi)有必要事先了解整個(gè)SQL Server的內(nèi)置安全機(jī)制。但是理解這些內(nèi)置安全機(jī)制。

作者簡(jiǎn)介

Chip Andrews是一位安全專家,在國(guó)際重量級(jí)安全會(huì)議上擔(dān)任得要發(fā)言人。他維護(hù)著SQL Security.com網(wǎng)站并為一些雜志,如Microsoft Certifide Professional、SQL Server Magazine,撰寫(xiě)SQL Server安全和軟件開(kāi)發(fā)方面的文章。
    David Litchfield是NGS軟件公司的創(chuàng)始人,

書(shū)籍目錄

第1章  SQLServer安全:基礎(chǔ)知識(shí)   1.1  SQLServer的歷史  1.2  SQLServer的版本  1.3  通用數(shù)據(jù)庫(kù)安全技術(shù)  1.4  SQLServer的安全漏洞    1.4.1  病毒解析:Slammer為什么會(huì)如此成功    1.4.2  預(yù)防另一個(gè)可能的S1amm  1.5  小結(jié)第2章  圍攻SQLServer.攻擊過(guò)程分析  2.1  挑選理想的工具  2.2  數(shù)據(jù)還是主機(jī)  2.3  無(wú)需認(rèn)證的攻擊    2.3.1  利用緩沖區(qū)溢出    2.3.2  SQL監(jiān)控器端口攻擊    2.3.3  hello故障    2.3.4獵取密碼  2.4  需要認(rèn)證的攻擊    2.4.1  緩沖區(qū)溢出    2.4.2  擴(kuò)展存儲(chǔ)過(guò)程    2.4.3  繞過(guò)訪問(wèn)控制機(jī)制  2.5  資源  2.6  代碼列表1  2.7  代碼列表2  2.8  代碼列表3第3章  SQLSenter的安裝技巧  3.1  規(guī)劃安裝過(guò)程    3.1.1  數(shù)據(jù)安全    3.1.2  容錯(cuò)能力    3.1.3  備份方案    3.1.4  災(zāi)難恢復(fù)  3.2  操作系統(tǒng)的因素  3.3  運(yùn)行安裝程序  3.4  鎖定服務(wù)器  3.5  核對(duì)列表第4章  網(wǎng)絡(luò)庫(kù)和安全連接  4.1  客戶/服務(wù)器連接  4.2  安全套接字層    4.2.1  SSL基礎(chǔ)    4.2.2  SSL的配置  4.3  SQLServer網(wǎng)絡(luò)庫(kù)    4.3.1  主網(wǎng)絡(luò)庫(kù)    4.3.2  從網(wǎng)絡(luò)庫(kù)  4.4  配置連接    4.4.1  服務(wù)器網(wǎng)絡(luò)實(shí)用程序    4.4.2  客戶端網(wǎng)絡(luò)實(shí)用程序  4.5  優(yōu)秀的經(jīng)驗(yàn)    4.5.1  永遠(yuǎn)不要向互聯(lián)網(wǎng)暴露您的SQLServer端口    4.5.2  盡可能使用TCP/IP網(wǎng)絡(luò)庫(kù)    4.5.3  在確實(shí)需要時(shí)再配置網(wǎng)絡(luò)庫(kù)    4.5.4  使用128位的SSL連接而不要使用40位的SSL連接    4.5.5  設(shè)置一個(gè)SSL證書(shū)以確保進(jìn)行安全登錄    4.5.6  對(duì)高敏感的數(shù)據(jù)進(jìn)行強(qiáng)制加密    4.5.7  配置TCP/IP的時(shí)候請(qǐng)使用隱藏服務(wù)器選項(xiàng)第5章  認(rèn)證和授權(quán)  5.1  認(rèn)證(Authentication)    5.1.1  登錄    5.1.2  數(shù)據(jù)庫(kù)用戶    5.1.3  角色  5.2  授權(quán)(AuthOhzatiOn)和許可(Permissions)    5.2.1  GRANT、REVOKE和DENY    5.2.2  審核訪問(wèn)(AuditingAccess)    5.2.3  所有權(quán)鏈(OwnershipChains)  5.3  SyslOginS、Sysprotects、Syspermissions和其他特殊賬戶    5.3.1  SID與SUID    5.3.2  syslogins和sysxlogins    5.3.3  SySUSer3    5.3.4  syspermissions    5.3.5  sysprotects  5.4  優(yōu)秀的經(jīng)驗(yàn)    5.4.1  Windows活動(dòng)目錄:集中式管理    5.4.2  SQLServer集中式角色管理    5.4.3  挑選適當(dāng)?shù)姆椒ǖ?章  企業(yè)中的SQLServer  6.1  SQLServer的復(fù)制    6.1.1  復(fù)制操作概論    6.1.2  復(fù)制時(shí)要考慮的安全問(wèn)題  6.2  多服務(wù)器系統(tǒng)管理  6.3  活動(dòng)目錄集成第7章  審核與入侵檢測(cè)  7.1  案例分析    7.1.1  RetailCo數(shù)據(jù)庫(kù)的運(yùn)作規(guī)模    7.1.2  RetailCo的管理結(jié)構(gòu)    7.1.3  安全策略    7.1.4  怪異之事和合乎法律程序的檢查    7.1.5  結(jié)論  7.2  SQLServer審核    7.2.1  啟用標(biāo)準(zhǔn)的審核    7.2.2  C2級(jí)審核    7.2.3  擴(kuò)展審核功能    7.2.4  使用內(nèi)置跟蹤函數(shù)配置手動(dòng)審核  7.3  SQLServer警報(bào)    7.3.1  配置SQLServer警報(bào)    7.3.2  將SQLServer警報(bào)用作入侵檢測(cè)系統(tǒng)第8章  數(shù)據(jù)加密技術(shù)  8.1  加密技術(shù)概覽  8.2  哈希算法  8.3  Salt(Salts)  8.4  密鑰管理  8.5  內(nèi)置加密函數(shù)  8.6  加密自定義存儲(chǔ)過(guò)程  8.7  加密SQLServer表數(shù)據(jù)  8.8  SQLServer網(wǎng)絡(luò)通信的加密  8.9  中間層加密  8.10  第三方COM組件  8.11  加密API第9章  SQL注入:當(dāng)防火墻鞭長(zhǎng)莫及時(shí)  9.1  SQL注入簡(jiǎn)述  9.2  案例研究:在線外貿(mào)交易系統(tǒng)    9.2.1  審核技術(shù)    9.2.2  漏洞識(shí)別    9.2.3  攻擊系統(tǒng)    9.2.4  案例分析  9.3  高級(jí)主題    9.3.1  利用時(shí)間延遲提取有用信息    9.3.2  系統(tǒng)級(jí)攻擊    9.3.3  為什么SQLServer容易受到SQL注入的攻    9.3.4  攻擊方式  9.4  SQL注入的防護(hù)    9.4.1  輸入驗(yàn)證(1nputValidation)    9.4.2  鑒別不好的設(shè)計(jì)    9.4.3  增強(qiáng)設(shè)計(jì)  9.5  優(yōu)秀的經(jīng)驗(yàn)    9.5.1  設(shè)計(jì)    9.5.2  開(kāi)發(fā)/實(shí)現(xiàn)    9.5.3  QA/測(cè)試    9.5.4  配置第10章  安全體系結(jié)構(gòu)  10.1  深度防護(hù)  10.2  安全性需求    10.2.1  收集需求    10.2.2  已有的環(huán)境    10.2.3  理解應(yīng)用程序的安全需求    10.2.4保護(hù)您的應(yīng)用程序  10.3  規(guī)劃    10.3.1  依托技術(shù)做決策    10.3.2  依托評(píng)審過(guò)程做決策    10.3.3  依托代碼標(biāo)準(zhǔn)做決策    10.3.4  防止安全水準(zhǔn)的下降  10.4  開(kāi)發(fā)    10.4.1  良好的編碼習(xí)慣    10.4.2  編寫(xiě)存儲(chǔ)過(guò)程的一些良好的習(xí)慣    10.4.3  輸入驗(yàn)證    10.4.4  推薦的開(kāi)發(fā)防護(hù)措施    10.4.5  一些不好的編碼習(xí)慣及其克服方法  10.5  測(cè)試    10.5.1  測(cè)試的手段    10.5.2  模糊化處理(Fuzzing)    10.5.3  一些技巧    10.5.4  深度覆蓋    10.5.5  結(jié)果報(bào)告  10.6  配置    10.6.1  配置的規(guī)劃    10.6.2  過(guò)程的構(gòu)造    10.6.3  問(wèn)題的解決方法  10.7  維護(hù)    10.7.1  安全+不安全=不安全    10.7.2  閱讀日志    10.7.3  注意收集證據(jù)附錄A  系統(tǒng)存儲(chǔ)過(guò)程與擴(kuò)展存儲(chǔ)過(guò)程  A.1  限制存儲(chǔ)過(guò)程的風(fēng)險(xiǎn)    A.1.1  將攻擊范圍壓縮到最小    A.1.2  將訪問(wèn)權(quán)限降到最低    A.1.3  將應(yīng)用程序運(yùn)行時(shí)的賬產(chǎn)權(quán)限調(diào)整到最小  A.2  存儲(chǔ)過(guò)程的攻擊策略    A.2.1  創(chuàng)建特洛伊木馬存儲(chǔ)過(guò)程    A.2.2  利用社會(huì)工程學(xué)使用系統(tǒng)存儲(chǔ)過(guò)程  A.3  高危險(xiǎn)性的系統(tǒng)存儲(chǔ)過(guò)程和擴(kuò)展存儲(chǔ)過(guò)程    A.3.1  訪問(wèn)注冊(cè)表的擴(kuò)展存儲(chǔ)過(guò)程    A.3.2  暴露SQLServer開(kāi)發(fā)環(huán)境中的存儲(chǔ)過(guò)程    A.3.3  OLE自動(dòng)化擴(kuò)展存儲(chǔ)過(guò)程    A.3.4  訪問(wèn)操作系統(tǒng)的存儲(chǔ)過(guò)程    A.3.5  使用電子郵件的存儲(chǔ)過(guò)程  A.4  防御策略    A.4.1  刪除不需要的存儲(chǔ)過(guò)程    A.4.2  撤銷存儲(chǔ)過(guò)程的公共訪問(wèn)權(quán)限    A.4.3  審核和跟蹤對(duì)于SQLServer源代碼和許可的變更附錄B  影響SQLServer安全的一些其他技術(shù)  B.1  ⅥsualStu出O、MicrosonOmce和COM連通性工具    B.1.1  Ⅵsual StudiO    B.1.2  Microson Of6Ce"    B.1.3  數(shù)據(jù)訪問(wèn)API  B.2  SQLServerMail接口    B.2.1  SQLMall    B.2.2  SQLAgentMail  B.3  Internet信息服務(wù)集成  B.4  SQLServer開(kāi)發(fā)員和系統(tǒng)管理員工具    B.4.1  SQL-DMO    B.4.2  SQL-NS    B.4.3  DB-Library APl    B.4.4  1SQL.exe和OSQLex~工具    B.4.5  分發(fā)組件    B.4.6  服務(wù)器的連接    B.4.7  數(shù)據(jù)傳輸服務(wù)DTS    B.4.8  批復(fù)制DTS任務(wù)    B.4.9  擴(kuò)展存儲(chǔ)過(guò)程的開(kāi)發(fā)    B.4.10  列表數(shù)據(jù)流TDS附錄C  連接字符串  C.1  連接屬性  C.2  連接字符串示例  C.3  連接字符串的存放位置    C.3.1  Web.conflg(ASP.NET)或global.asa(ASP)文件    C.3.2  注冊(cè)表    C.3.3  使用DPAPI加密的文本文件    C.3.4  UDL文件    C.3.5  包含文本文件    C.3.6 COM+目錄附錄D  安全核對(duì)列表    D.1  SQLServer版本核對(duì)列表    D.2  Post-Install核對(duì)列表    D.3  維護(hù)核對(duì)列表

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

    SQL Server安全性 PDF格式下載

用戶評(píng)論 (總計(jì)0條)

 
 

推薦圖書(shū)

相關(guān)圖書(shū)

 

250萬(wàn)本中文圖書(shū)簡(jiǎn)介、評(píng)論、評(píng)分,PDF格式免費(fèi)下載。 第一圖書(shū)網(wǎng) 手機(jī)版

京ICP備13047387號(hào)-7