Секрет хакера

Матрица ролей

Thu, 08 Apr 2010 10:37:00 +0000

Большую помощь в процессе аудита средств авторизации может оказать матрица ролей (role matrix). В матрице ролей перечисляются все пользователи (или все типы пользователей) приложения и все выполняемые ими операции. Суть использования матрицы состоит не в получении инструмента для проверки каждой разрешенной операции, а в качестве накопите¬ля информации о том, как эти операции выполняются, а также того, какие маркеры сеансов при этом используются. Пример такой матрицы приведен в табл. 6.1.

Матрица ролей подобна схеме распределения функциональности. Если в такой матрице све¬сти все URI, применяемые каждым пользователем для получения доступа к определенным функциям, можно выявить закономерности. Приведенный в табл. 6.1 пример слишком прост, однако даже в нем можно выявить такие закономерности. Так, можно установить, что админи¬стратор для получения доступа к пользовательскому профилю должен добавить к URI параметр EUID. Матрица также позволяет идентифицировать компоненты системы, которые отвечают за обработку информации о состоянии и, следовательно, за применение средств авторизации. Как правило, Web-приложения применяют одни и те же средства обработки информации о состоя¬нии на всем Web-узле. Например, одно приложение полностью полагается на использование файлов cookie, и матрица ролей для такого приложения будет наполнена названиями файлов

Рекомендации по защите сервера SQL

Thu, 08 Apr 2010 05:35:00 +0000

Здесь собраны рекомендации по настройке защиты сервера SQL Server, взятые из главы 11, "Хакинг сервера SQL", (некоторые пункты были удалены, так как они дублируют данные выше рекомендации).

Ў Для ограничения возможностей соединения с SQL Server, используйте брандмауэр. Напрямую подключаться к SQL,-cepBcpaM должны только те машины, которые будут отправлять запросы к их службам. Например, если SQL Server является хранилищем данных для витрины Web-магазина, то никакие машины, кроме Web-сервера, не должны иметь возможность подключиться напрямую к SQL Server.

¦ Следите за выходом пакетов обновления для программы SQL Server.

¦ Внимательно изучите настройки режима безопасности программы SQL Server. Не¬смотря на то, что использование аутентификации Windows для SQL Server кажется достаточно безопасным, это возможно не всегда и не во всех окружениях. Потратьте время на анализ такой возможности и, если позволяют обстоятельства, отключите ис¬пользование пар "имя пользователя/пароль" для подключения к серверу SQL. Благог даря этому можно будет не использовать имя пользователя и пароль в строках соеди¬нения с сервером в приложениях, работающих по технологии "клиент-сервер".

¦ Включите ведение журнала аутентификации в SQL Server. По умолчанию ведение журнала аутентификации в SQL Server отключено. Исправить ситуацию можно одной командой, и сделать это рекомендуется как можно раньше. Можно воспользоваться программой En¬terprise Manager и заглянуть в свойства сервера на вкладке безопасности или вызвать коман¬ду для SQL Server с помощью программы Query Analyzer или osql. ехе (следующая коман¬да разбита на несколько строк из-за ограниченной ширины страницы).

Master. .xp_instance_regwrite N'HKEY_LOCAL_MACHlNE',N'SOFTWARE

Ь \Microsott\MSSQLServer\MSSQLServer',N'AuditLevel', REG_DWORD,3

¦ По возможности применяйте шифрование данных. Хотя SQL Server не имеет встроен¬ной поддержки для шифрования отдельных полей, можно легко реализовать собст¬венное шифрование через интерфейс CryptoAPI от Microsoft и размещать в базе дан¬ных шифрованную информацию. Разработки других компаний по этому вопросу пе¬речислены в главе 11, "Хакинг сервера SQL", они позволяют шифровать данные на сервере SQL Server посредством расширенных хранимых процедур (используйте эти программы на свой страх и риск

Пусть покупатель будет бдителен: функции и здравый смысл

Tue, 06 Apr 2010 22:30:00 +0000

Самое сложное в создании списка мер по защите систем семейства Windows NT — учесть все возможные функции, которые система выполняет в сети. Она может действовать как от¬дельный компьютер, как член домена, как контроллер домена, Web-сервер, сервер приложе¬ний Terminal Services, файловый сервер и сервер печати, брандмауэр, а также выполнять еще бесконечное количество функций и их комбинаций.

Приведенные в нашем списке рекомендации в некотором смысле ограничивают возмож¬ности системы, поэтому не всегда подойдут для той роли, которую система под управлением Windows играет в конкретном окружении. Где возможно, мы указывали, выполнению каких функций может помешать та или иная настройка, но в конечном счете эффективность приве¬денных рекомендаций вам придется оценивать после тщательного тестирования системы.

По нашему мнению, следует придерживаться наиболее строгих рекомендаций и отказы¬ваться от ограничений только в тех случаях, когда это обязательно требуется для выполнения поставленной задачи.

О Контрмеры

Tue, 06 Apr 2010 18:08:00 +0000

Лучший способ воспрепятствования внедрению SQL является проверка вводимых данных (см. главу 8). Однако следует подчеркнуть, что при аутентификации проверка вводимых данных становится нетривиальной задачей. Проверить, насколько корректно введено имя пользователя, в общем-то, несложно, поскольку в большинстве случаев пользователи выбирают в качестве идентификаторов простые значения. Как правило, пользовательские идентификаторы пред¬ставляют собой алфавитно-цифровую последовательность длиной 6—10 символов. Однако, если на Web-узле реализуется строгая политика выбора паролей, от пользователей требуется приме¬нять длинные пароли и использовать в них специальные символы, что усложняет задачу провер¬ки корректности вводимых данных. Поэтому необходимо компромиссное решение, заключаю¬щееся в запрете на использование в паролях опасных символов, таких как одинарная кавычка.

На первый взгляд

Tue, 06 Apr 2010 09:18:00 +0000

Для операционной системы Windows Server 2003 пропагандировался девиз "Do more with less", что можно перевести как "Делайте больше с применением меньшего количества средств". Это вполне отвечало требованиям рынка информационных технологий, на котором с 2001 года наметился некоторый спад. Похоже, компания Microsoft вернулась к своим прин¬ципам насыщения массового рынка, когда благодаря новым продуктам вычисления выпол¬няются с помощью простых в использовании и понятных для пользователей средств. Упро¬щение использования должно затронуть прежде всего:

Ў установку и принципы работы;

¦ создание платформы для распределенных приложений; А совместное использование информации.

Как мы указывали в главе 1, "Основы безопасности сетей и систем", для нас одним из важнейших принципов безопасности является простота, поскольку гораздо труднее обеспе¬чить защиту сложных систем. Мы надеемся, что это целенаправленное упрощение в Longhorn затронет и систему безопасности, но пока мы подождем с прогнозами. Мы не собираемся об¬суждать все возможности Longhorn, а только тс, которые касаются безопасности. Итак, что мы имеем...