8
Апр
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Большую помощь в процессе аудита средств авторизации может оказать матрица ролей (role matrix). В матрице ролей перечисляются все пользователи (или все типы пользователей) приложения и все выполняемые ими операции. Суть использования матрицы состоит не в получении инструмента для проверки каждой разрешенной операции, а в качестве накопите¬ля информации о том, как эти операции выполняются, а также того, какие маркеры сеансов при этом используются. Пример такой матрицы приведен в табл. 6.1.
Читать полностью
8
Апр
Автор: | Рубрика: Защита | Комментарии отключены
Здесь собраны рекомендации по настройке защиты сервера SQL Server, взятые из главы 11, "Хакинг сервера SQL", (некоторые пункты были удалены, так как они дублируют данные выше рекомендации).
Ў Для ограничения возможностей соединения с SQL Server, используйте брандмауэр. Напрямую подключаться к SQL,-cepBcpaM должны только те машины, которые будут отправлять запросы к их службам. Например, если SQL Server является хранилищем данных для витрины Web-магазина, то никакие машины, кроме Web-сервера, не должны иметь возможность подключиться напрямую к SQL Server.
Читать полностью
6
Апр
Автор: | Рубрика: Сокртыие следов | Комментарии отключены
Самое сложное в создании списка мер по защите систем семейства Windows NT — учесть все возможные функции, которые система выполняет в сети. Она может действовать как от¬дельный компьютер, как член домена, как контроллер домена, Web-сервер, сервер приложе¬ний Terminal Services, файловый сервер и сервер печати, брандмауэр, а также выполнять еще бесконечное количество функций и их комбинаций.
Читать полностью
6
Апр
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Лучший способ воспрепятствования внедрению SQL является проверка вводимых данных (см. главу 8). Однако следует подчеркнуть, что при аутентификации проверка вводимых данных становится нетривиальной задачей. Проверить, насколько корректно введено имя пользователя, в общем-то, несложно, поскольку в большинстве случаев пользователи выбирают в качестве идентификаторов простые значения. Как правило, пользовательские идентификаторы пред¬ставляют собой алфавитно-цифровую последовательность длиной 6—10 символов. Однако, если на Web-узле реализуется строгая политика выбора паролей, от пользователей требуется приме¬нять длинные пароли и использовать в них специальные символы, что усложняет задачу провер¬ки корректности вводимых данных. Поэтому необходимо компромиссное решение, заключаю¬щееся в запрете на использование в паролях опасных символов, таких как одинарная кавычка.
6
Апр
Автор: | Рубрика: Сбор Даных | Комментарии отключены
Для операционной системы Windows Server 2003 пропагандировался девиз "Do more with less", что можно перевести как "Делайте больше с применением меньшего количества средств". Это вполне отвечало требованиям рынка информационных технологий, на котором с 2001 года наметился некоторый спад. Похоже, компания Microsoft вернулась к своим прин¬ципам насыщения массового рынка, когда благодаря новым продуктам вычисления выпол¬няются с помощью простых в использовании и понятных для пользователей средств. Упро¬щение использования должно затронуть прежде всего:
Читать полностью
