已阅读5页,还剩11页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
精品课件,1,第6章数据库系统安全技术,本章学习目标:掌握SQL注入式攻击的原理理解对SQL注入式攻击的防范了解常见的数据库安全问题及安全威胁了解数据库系统安全体系、机制和需求掌握MSSQLServer2005安全管理了解数据库安全管理原则,精品课件,2,第6章数据库系统安全技术,6.1SQL注入式攻击,6.1.1实例:注入攻击MSSQLServer,6.1.2实例:注入攻击Access,精品课件,3,第6章数据库系统安全技术,6.1SQL注入式攻击,6.1.3SQL注入式攻击的原理及技术汇总,1数据库系统,2SQL注入的条件,3数据库手工注入过程,(1)寻找注入点,(2)判断数据库类型,(3)猜测表名、字段名(列名)、记录数、字段长度,(4)确定XP_CMDSHELL可执行情况,(5)寻找Web虚拟目录,(6)上传ASP木马,(7)获得系统管理员权限,精品课件,4,第6章数据库系统安全技术,6.1SQL注入式攻击,6.1.3SQL注入式攻击的原理及技术汇总,4针对MSSQLServer的常见SQL注入方法,(1)取得当前连接数据库用户,(2)取得当前连接数据库名,(3)备份数据库,(4)新建用户,(5)加入管理员组,精品课件,5,第6章数据库系统安全技术,6.1SQL注入式攻击,6.1.4如何防范SQL注入攻击,1对于动态构造SQL查询的场合,替换单引号、删除用户输入内容中的所有连字符对于用来执行查询的数据库账户,限制其权限、过滤特殊字符,2用存储过程来执行所有的查询,3限制表单或查询字符串输入的长度,4检查用户输入的合法性,确信输入的内容只包含合法的数据,5将用户登录名称、密码等数据加密保存,6检查提取数据的查询所返回的记录数量,精品课件,6,第6章数据库系统安全技术,6.2常见的数据库安全问题及安全威胁,1常见的数据库安全问题,2数据库的安全威胁,脆弱的账号设置缺乏角色分离缺乏审计跟踪未利用的数据库安全特征,数据库维护不当硬件故障功能弱的数据库权限分配混乱黑客的攻击病毒的威胁,精品课件,7,第6章数据库系统安全技术,6.3数据库系统安全体系、机制和需求,6.3.1数据库系统安全体系,1网络系统层次安全技术,2宿主操作系统层次安全技术,3数据库管理系统层次安全技术,精品课件,8,第6章数据库系统安全技术,6.3数据库系统安全体系、机制和需求,6.3.2数据库系统安全机制,1用户标识与鉴别,通行字认证、数字证书、智能卡、个人特征,2存取控制,传统的存取控制机制有两种:DAC和MAC。,3数据库加密,4密钥管理,5数据库审计,6备份与恢复,精品课件,9,第6章数据库系统安全技术,6.3数据库系统安全体系、机制和需求,6.3.3数据库系统安全需求,1完整性,物理完整性逻辑完整性元素完整性,2保密性,3可用性,精品课件,10,第6章数据库系统安全技术,6.4数据库系统安全管理,6.4.1实例:MSSQLServer2005安全管理,6.4.2数据库安全管理原则,1管理细分和委派原则,2最小权限原则,3账号安全原则,4有效的审计,精品课件,11,第6章数据库系统安全技术,6.5数据库的备份与恢复,1备份类型,完整备份差异备份事务日志备份文件和文件组备份,2恢复模式,简单恢复模式完整恢复模式大容量日志恢复模式,3备份策略,精品课件,12,第6章数据库系统安全技术,6.6本章小结,本章介绍了SQL注入式攻击的原理、对SQL注入式攻击的防范、常见的数据库安全问题及安全威胁、数据库安全管理原则等内容,并且通过对一系列实例的介绍,加深读者对数据库安全管理方面的基础知识和技术的理解,帮助读者提高维护数据库安全的能力,并且在进行Web开发时要注意防范SQL注入式攻击。,精品课件,13,第6章数据库系统安全技术,6.7习题,1填空题(1)是指攻击者通过黑盒测试的方法检测目标网站脚本是否存在过滤不严的问题,如果有,那么攻击者就可以利用某些特殊构造的SQL语句,通过在浏览器直接查询管理员的用户名和密码,或者利用数据库的一些特性进行权限提升。(2)数据库系统分为和。(3)只有调用数据库动态页面才有可有存在注入漏洞,动态页面包括、和等。,精品课件,14,第6章数据库系统安全技术,1填空题(4)从广义上讲,数据库系统的安全框架可以分为三个层次:、和。(5)常用的数据库备份方法有:、和。(6)数据库系统的安全需求有:、和。(7)数据库安全管理原则有:有:、和。(8)SQLServer2005提供了4种备份数据库的方式:、和。,6.7习题,精品课件,15,第6章数据库系统安全技术,2思考与简答题(1)阐述注入攻击MSSQLServer的一般过程。(2)阐述注入攻击Access的一般过程。(3)如何防范SQL注入攻击?,6.7习题,精品课件,16,第6章数据库系统安全技术,3上机题(1)在网络上寻找使用MSSQLServer的动态网站,然后对
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 海南铺面租赁合同书电子版
- 合同产生质量事故考核
- 2024高考政治一轮复习课时练16中国特色社会主义最本质的特征含解析新人教版
- 2024年高考生物二轮复习第一篇专题6考向3生物的进化和生物多样性学案
- 完美国际黄昏圣殿装备属性、所需材料系列介绍(武器篇)投
- 2024购买服务的合同协议书
- 2024新疆事业编制合同到期后单位可以选择不续签
- 2024机动车辆保险合同样本
- 2024北京市猪肉入市场厂挂钩合同范本
- 2024消防工程改造合同
- 中国传统的主流思想
- 易制毒从业人员培训课件
- 仓库降本增效方案培训课件
- 氢能与燃料电池-课件-第五章-制氢技术
- 用色彩表达情感课件
- (完整)中小学教师职称评定答辩题
- 中国电影发展史简介
- 危险货物运输登记表
- 2023北京海淀区高二上学期期末语文试题及答案
- 粮油售后服务承诺书
- 科研伦理与学术规范-课后作业答案
评论
0/150
提交评论