Прямые связи через Интернет Эти соединения могут быть использованы для подключения к серверам SQL сидя голым без защиты брандмауэра для всего мира, чтобы увидеть (и доступа). Порт Сообщить DShield показывает, как много систем, сидя там ждет, чтобы быть атакованы. Я не понимаю, логику принятия критической сервер, как это непосредственно доступны из интернета, но я все еще нахожу этот недостаток в моих оценках, и все мы помним, эффект червь Slammer SQL была на столько уязвимых систем SQL Server.
Тем не менее, эти прямые нападения может привести к отказу в обслуживании, переполнение буфера и больше. 2. Уязвимость Сканирование уязвимостей часто показывает слабые места в основной ОС, веб-приложения или саму систему баз данных. Все из-за отсутствия патчей SQL Server для Internet Information Services (IIS) слабых конфигурации, SNMP подвиги могут быть выявленные злоумышленниками и привести к сервера базы данных компромисса. Плохие парни могут использовать открытый источник, доморощенных или коммерческие инструменты.
Некоторые даже достаточно здравого смысла, чтобы выполнять свои хаки вручную из командной строки. В интересах времени (и минимальной вращения колеса), я рекомендую использовать коммерческие инструменты оценки уязвимости, как QualysGuard от Qualys Inc. (для общего сканирования), WebInspect от SPI Dynamics (для сканирования веб-приложений) и Next Generation Security Software ООО ' NGSSquirrel для SQL Server (для сканирования базы данных конкретных). Они просты в использовании, обеспечивают наиболее комплексную оценку и, в свою очередь, обеспечивают лучшие результаты.
Рисунок 1 показывает некоторые уязвимости SQL-инъекции, вы сможете раскрыть. Рисунок 1: уязвимости инъекции SQL Общие найти с помощью WebInspect. 3. Перечисление на службу разрешений SQL Server Бег на UDP порт 1434, это позволяет найти скрытые экземпляров базы данных и исследовать глубже в систему. SQLPing Chip Эндрюса v 2.5 является отличным инструментом для использования, чтобы искать системы SQL Server (ов) и определить номера версий (несколько). Э